https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html Пытаюсь настроить новый шлюз на базе FreeBSD + PF <br><br>PF заменательно работает и даже rdr отрабатывает завозачивая запрос на проксю на внутреннем интерфейсе но когда дело касается прослушивания внешнего порта и проброски на локальную машину затыкается. Помогите ПЛЗ ???<br><br>pfctl -ss <br>serv# pfctl -ss<br> <br>No ALTQ support in kernel<br>ALTQ related functions disabled<br>all tcp 192.168.1.77:21 &lt;- 192.168.1.79:1183 ESTABLISHED:ESTABLISHED<br>all udp 192.168.1.255:137 &lt;- 192.168.1.100:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:137 &lt;- 192.168.1.198:137 NO_TRAFFIC:SINGLE<br>all tcp 195.239.111.59:5222 &lt;- 192.168.1.152:1043 ESTABLISHED:ESTABLISHED<br>all tcp 192.168.1.152:1043 -&gt; 85.113.204.19:63181 -&gt; 195.239.111.59:5222 ESTABLISHED:ESTABLISHED<br>all tcp 205.188.5.81:5190 &lt;- 192.168.1.152:1046 ESTABLISHED:ESTABLISHED<br>all tcp 192.168.1.152:1046 -&gt; 85.113.204.19:50691 -&gt; 205.188.5.81:5190 ESTABLISHED:ESTABLISHED<br>all tcp 217.15.142.234:22 &lt;- 192.168.1.152:1053 FIN_WAIT_2:FIN_WAIT https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#10 Mon, 27 Sep 2010 13:08:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;pass out on $ext_if proto {udp icmp } to any keep state <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;результат тот же((( <br>&gt;<br>&gt;адрес $terminal есть в таблице users? может проблема как раз в пакете, <br>&gt;который возвращается клиенту - для него просто не работает нат. посмотрите <br>&gt;тисипидампом на внешнем и внутренем интерфейсах трафик при обращении к этому <br>&gt;порту <br><br>Сделали помогло открытие ната на внутреннем интерфейсе<br>nat on $int_if from any to $terminal port rdp -&gt; $int_if<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#9 Tue, 21 Sep 2010 14:56:59 GMT &gt;[оверквотинг удален]<br>&gt;# по таблице состояний. <br>&gt;pass out on $ext_if proto { tcp udp icmp } to any <br>&gt;modulate state <br>&gt;на <br>&gt;pass out on $ext_if proto { tcp } to any modulate state <br>&gt;<br>&gt;pass out on $ext_if proto {udp icmp } to any keep state <br>&gt;<br>&gt;<br>&gt;результат тот же((( <br><br>адрес $terminal есть в таблице users? может проблема как раз в пакете, который возвращается клиенту - для него просто не работает нат. посмотрите тисипидампом на внешнем и внутренем интерфейсах трафик при обращении к этому порту<br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#8 Tue, 21 Sep 2010 11:06:26 GMT попробовал разделить правило <br># выпустить tcp, udp и icmp трафик на внешнем (Интернет) интерфейсе.<br># tcp соединения буду модулироваться, udp/icmp будут отслеживаться<br># по таблице состояний.<br>pass out on $ext_if proto { tcp udp icmp } to any modulate state<br>на<br>pass out on $ext_if proto { tcp } to any modulate state<br>pass out on $ext_if proto {udp icmp } to any keep state<br><br>результат тот же(((<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#7 Tue, 21 Sep 2010 08:57:29 GMT &gt;&gt;pass in log on $ext_if proto tcp from any to $terminal port rdp flags S/SA synproxy state<br>&gt;<br>&gt;Еще надо разрешить прохождение этих пакетиков на $int_if <br>&gt;pass out on $int_if inet proto tcp from any to $terminal port <br>&gt;rdp <br><br>Разрешил и все равно <br><br>all udp 192.168.1.255:137 &lt;- 192.168.1.198:137 NO_TRAFFIC:SINGLE<br>all tcp 192.168.1.77:22 &lt;- 192.168.1.79:3542 ESTABLISHED:ESTABLISHED<br>all udp 192.168.1.255:137 &lt;- 192.168.1.8:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:137 &lt;- 192.168.1.136:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:137 &lt;- 192.168.1.175:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:138 &lt;- 192.168.1.12:138 NO_TRAFFIC:SINGLE<br>all tcp 192.168.1.79:3389 &lt;- 85.113.204.19:3389 &lt;- 217.15.140.70:61525 PROXY:DST<br>all tcp 217.15.140.70:61525 -&gt; 192.168.1.79:3389 SYN_SENT:CLOSED<br>all udp 192.168.1.255:137 &lt;- 192.168.1.87:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:138 &lt;- 192.168.1.143:138 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:138 &lt;- 192.1 https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#6 Tue, 21 Sep 2010 07:57:45 GMT &gt;pass in log on $ext_if proto tcp from any to $terminal port rdp flags S/SA synproxy state<br><br>Еще надо разрешить прохождение этих пакетиков на $int_if<br>pass out on $int_if inet proto tcp from any to $terminal port rdp<br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#5 Tue, 21 Sep 2010 06:05:40 GMT # выпустить tcp, udp и icmp трафик на внешнем (Интернет) интерфейсе.<br># tcp соединения буду модулироваться, udp/icmp будут отслеживаться<br># по таблице состояний.<br>pass out on $ext_if proto { tcp udp icmp } to any modulate state<br><br>Мне кажется, что тут проблема. По-крайне мере, в 6.4 modulate state может быть применен только для tcp-трафика. Для icmp и udp только keep state. Может правило не раскрывается, но и не выдает ошибку при компиляции<br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#4 Tue, 21 Sep 2010 06:00:40 GMT &gt;&gt;<br>&gt;&gt;Попробуй вот эту строку заменить <br>&gt;&gt;- pass in log on $ext_if proto tcp from any to $terminal <br>&gt;&gt;port rdp flags S/SA synproxy state <br>&gt;&gt;+ pass in log on $ext_if proto tcp from any to $terminal <br>&gt;&gt;port rdp flags S/SA modulate state <br>&gt;<br>&gt;Ситуация не изменилась <br>&gt;<br><br>Очень странно... Вот у меня в общем-то аналогичная ситуация- прокидываю http внутрь приватной сетки<br><br>ext_if="em1"<br>int_if="em0"<br>internal_net="192.168.1.0/24"<br>...<br>rdr on $ext_if inet proto tcp from any to ($ext_if) port 8888 -&gt; \<br> 192.168.1.134 port 80<br>...<br>pass in quick on $ext_if inet proto tcp from any \<br> to 192.168.1.134 port 80 keep state<br>...<br>pass out on $int_if inet proto tcp from any to $internal_net modulate state<br>pass out on $int_if inet proto { udp, icmp } from any to $internal_net keep state<br>...<br>Все работает без проблем. фря 6.4 <br>дефолтный block all<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#3 Tue, 21 Sep 2010 05:44:50 GMT &gt;rdr on $ext_if proto tcp from any to any port rdp -&gt; $terminal<br><br>здесь попробуйте точно указать to ($ext_if)<br><br>&gt;pass in log on $ext_if proto tcp from any to $terminal port rdp flags S/SA synproxy state <br><br>и здесь to $terminal как-то неправильно, думаю надо тоже to ($ext_if)<br><br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID10/4694.html#2 Tue, 21 Sep 2010 03:48:37 GMT &gt;<br>&gt;Попробуй вот эту строку заменить <br>&gt;- pass in log on $ext_if proto tcp from any to $terminal <br>&gt;port rdp flags S/SA synproxy state <br>&gt;+ pass in log on $ext_if proto tcp from any to $terminal <br>&gt;port rdp flags S/SA modulate state <br><br>Ситуация не изменилась <br><br>serv# pfctl -ss<br>No ALTQ support in kernel<br>ALTQ related functions disabled<br>all tcp 127.0.0.1:3128 &lt;- 93.191.13.103:80 &lt;- 192.168.1.79:1030 TIME_WAIT:TIME_WAIT<br>all udp 192.168.1.255:137 &lt;- 192.168.1.182:137 NO_TRAFFIC:SINGLE<br>all tcp 192.168.1.77:22 &lt;- 192.168.1.79:1051 ESTABLISHED:ESTABLISHED<br>all tcp 127.0.0.1:3128 &lt;- 93.191.13.103:80 &lt;- 192.168.1.79:1061 ESTABLISHED:ESTABLISHED<br>all tcp 85.113.204.19:21033 -&gt; 93.191.13.103:80 ESTABLISHED:ESTABLISHED<br>all udp 192.168.1.255:137 &lt;- 192.168.1.180:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:137 &lt;- 192.168.1.162:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:137 &lt;- 192.168.1.139:137 NO_TRAFFIC:SINGLE<br>all udp 192.168.1.255:138 &lt;- 192.168.1.34:138 NO_