https://www.opennet.ru/openforum/vsluhforumID1/83172.html Добрый день.<br><br>Не удается пробросить порт 3389 внутрь сети<br>Шлюз FreeBSD 6.3, pf<br><br>192.168.0.0/24 - локальная сеть<br>192.168.3.5 - внешний ифейс смотрит на адсл-роутер (настроен роутером, если напрямую втыкать - работает)<br>На клиенте интернет есть, шлюзом сервер 192.168.0.5<br><br>Другие порты (по крайней мере 80 23) фурычат. Со шлюза машины в лок.сети видны, телнетом можно приконектиться<br><br>ipfw/natd в таких же условиях работает<br><br>pf.conf<br>в данном конфиге 80 порт работает<br>##############################################<br># MACROS<br>ext_if = "em1"<br>int_if = "em0"<br>ext_addr = "192.168.3.5"<br>int_addr = "192.168.0.5"<br>int_net = "192.168.0.0/24"<br><br>set optimization normal<br>set block-policy drop<br>set loginterface $ext_if<br>set fingerprints "/etc/pf.os"<br><br>scrub in on ! lo0 all fragment reassemble<br><br># NAT<br>nat on $ext_if from 192.168.0.7 to any -&gt; ($ext_if)<br>nat on $ext_if from 192.168.0.15 to any -&gt; ($ext_if)<br><br># RDR<br>rdr on $ext_if proto tcp from any to any port 8080 -&gt; 192.168.0.7 port 80<br>rdr on $ext_if proto tcp https://www.opennet.ru/openforum/vsluhforumID1/83172.html#14 Tue, 20 Apr 2010 16:34:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;В итоге с rinetd работает. Те вопрос остается открытым. Получается что работают <br>&gt;&gt;все пробросы кроме rdp (необязательно 3389). <br>&gt;&gt;<br>&gt;&gt;Спасибо за советы. <br>&gt;<br>&gt;ВНИМАТЕЛЬНО нужно читать мануалы -&gt; исправляем ошибки -&gt; наслаждаемся работой красивого файрволла.<br>&gt;<br>&gt;Всё работает, только без понимания механизмов маршрутизации нет смысла вообще начинать настраивать <br>&gt;подобное. <br><br>если такой умный, объясни в чем косяк, а не просто балаболь про мануалы<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#13 Mon, 15 Dec 2008 06:36:23 GMT &gt;Добрый день. <br>&gt;<br>&gt;В итоге с rinetd работает. Те вопрос остается открытым. Получается что работают <br>&gt;все пробросы кроме rdp (необязательно 3389). <br>&gt;<br>&gt;Спасибо за советы. <br><br>ВНИМАТЕЛЬНО нужно читать мануалы -&gt; исправляем ошибки -&gt; наслаждаемся работой красивого файрволла.<br><br>Всё работает, только без понимания механизмов маршрутизации нет смысла вообще начинать настраивать подобное.<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#12 Mon, 15 Dec 2008 03:37:01 GMT Добрый день.<br><br>В итоге с rinetd работает. Те вопрос остается открытым. Получается что работают все пробросы кроме rdp (необязательно 3389).<br><br>Спасибо за советы.<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#11 Fri, 05 Dec 2008 16:11:00 GMT &gt;&gt;вы проверяли что до 192.168.0.15 пакеты не доходят? при ваших правилах пакет <br>&gt;&gt;будет с обратными адресами из инета а не локалки, это на <br>&gt;&gt;192.168.0.15 и в частности для того кто слушает 3389, разрешено? <br>&gt;<br>&gt;На самом не проверял. Но если на него направить 80 или 22 <br><br>так и я о чем же, скорей всего пакета отправляются, но на 192.168.0.15 их не принемают, а уж firewall на 192.168.0.15 или программулина незнаю, смотрите что происходит на 192.168.0.15<br><br>&gt;порт - ответ есть. Пробовал на разных компьютерах. При ВПН, из <br>&gt;лок. сети все ок. Правила одинаковые для любого порта. Ставил "pass <br>&gt;all". Запрещающие правила для теста, смотрел логи. <br><br>на какой машине ставили это, на 192.168.0.5 или 192.168.0.15?<br><br>если 192.168.0.5 разрешено соединяться с 192.168.0.15:3389, то можно попробывать сделать nat на 192.168.0.5 на внутреннем интерфейсе для этих пакетов и посмотреть что будет, хотя это тоже не будет 100% показателем.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#10 Fri, 05 Dec 2008 15:09:12 GMT &gt;вы проверяли что до 192.168.0.15 пакеты не доходят? при ваших правилах пакет <br>&gt;будет с обратными адресами из инета а не локалки, это на <br>&gt;192.168.0.15 и в частности для того кто слушает 3389, разрешено? <br><br>На самом не проверял. Но если на него направить 80 или 22 порт - ответ есть. Пробовал на разных компьютерах. При ВПН, из лок. сети все ок. Правила одинаковые для любого порта. Ставил "pass all". Запрещающие правила для теста, смотрел логи.<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#9 Thu, 04 Dec 2008 10:00:49 GMT &gt;[оверквотинг удален]<br>&gt;В pf.conf пишу вместо "block all log" "pass quick all". "block" в <br>&gt;конфиге нет совсем <br>&gt;Рузультат тот же <br>&gt;<br>&gt;# pfctl -ss &#124; grep 3389 <br>&gt;self tcp internet:53049 -&gt; 192.168.0.21:3389 SYN_SENT:CLOSED<br>&gt;self tcp 192.168.0.21:3389 &lt;- 192.168.3.5:3389 &lt;- internet:53049 <br>&gt; CLOSED:SYN_SENT <br>&gt;self tcp 192.168.0.21:3389 &lt;- 192.168.3.5:3389 &lt;- internet:53218 <br>&gt; CLOSED:SYN_SENT <br><br>вы проверяли что до 192.168.0.15 пакеты не доходят? при ваших правилах пакет будет с обратными адресами из инета а не локалки, это на 192.168.0.15 и в частности для того кто слушает 3389, разрешено?<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#8 Thu, 04 Dec 2008 03:09:19 GMT &gt;может на 192.168.0.15 интерфейс послушать? <br><br>На 15 соединение на 3389 разрешено. Из локальной сети и при vpn подключается<br><br># pfctl -ss &#124; grep 3389<br>self tcp 192.168.0.101:1314 -&gt; 192.168.0.1:3389 ESTABLISHED:ESTABLISHED<br>self tcp 192.168.0.1:3389 &lt;- 192.168.0.101:1314 ESTABLISHED:ESTABLISHED<br><br>Sysctl пустой<br><br>В pf.conf пишу вместо "block all log" "pass quick all". "block" в конфиге нет совсем<br>Рузультат тот же<br><br># pfctl -ss &#124; grep 3389<br>self tcp internet:53049 -&gt; 192.168.0.21:3389 SYN_SENT:CLOSED<br>self tcp 192.168.0.21:3389 &lt;- 192.168.3.5:3389 &lt;- internet:53049 CLOSED:SYN_SENT<br>self tcp 192.168.0.21:3389 &lt;- 192.168.3.5:3389 &lt;- internet:53218 CLOSED:SYN_SENT<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#7 Wed, 03 Dec 2008 17:26:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;tcpdump -n -e -ttt -i pflog0 - ловишь на pflog0, а описан <br>&gt;&gt;как внешний em1 и внутренний em0. <br>&gt;<br>&gt;Туда вроде оба попадают. Если запрещающее правило сделать, например на внутренний ифейс, <br>&gt;сразу кажет <br>&gt;<br>&gt;В интернете такая проблема встречалась без ответа. Никто так не делает или <br>&gt;у всех работает <br>&gt;<br>&gt;В основном использую ipfw <br><br>может на 192.168.0.15 интерфейс послушать?<br> https://www.opennet.ru/openforum/vsluhforumID1/83172.html#6 Wed, 03 Dec 2008 15:37:29 GMT &gt;В какую сторону обрабатывает? В ствою локалку идут пакеты или все таки <br>&gt;только на ружу. <br>&gt;И кстати вижу как ты описал nat случаем не в одну сторону? <br><br>С пакетами все нормально. Усе работает кроме rdp. Потому и не понятно<br><br>&gt;<br>&gt;tcpdump -n -e -ttt -i pflog0 - ловишь на pflog0, а описан <br>&gt;как внешний em1 и внутренний em0. <br><br>Туда вроде оба попадают. Если запрещающее правило сделать, например на внутренний ифейс, сразу кажет<br><br>В интернете такая проблема встречалась без ответа. Никто так не делает или у всех работает <br><br>В основном использую ipfw<br>