The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw + fwd"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipfw + fwd"  +/
Сообщение от Павел email(??) on 14-Ноя-07, 02:21 
Не могу настроить чтоб форвардились пакеты извне т.е. с внешнего интерфейса на локальную машину ipfw add fwd пишет ошибку чтобы туда не писал ((

ifout - внешний интерфейс
10.4.25.210 - ip внешнего интерфейса
192.168.0.2 - ip локальной машины с веб сервером

вот что пишу в правило ipfw add fwd 192.168.0.2,80 tcp from 10.4.25.210:255.255.248.0 to me http out via ${ifout}
либо нечто вроде этого, всегда выдается ошибка:
ipfw: getsockopt(IP_FW_ADD): Invalid argument

незнаю что неправильно, что за неверный аргумент.... подскажите плиз!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • ipfw + fwd, idle, 10:31 , 14-Ноя-07, (1)  
    • ipfw + fwd, Павел, 16:30 , 14-Ноя-07, (2)  
    • ipfw + fwd, Павел, 16:40 , 14-Ноя-07, (3)  
      • ipfw + fwd, idle, 18:05 , 14-Ноя-07, (4)  
        • ipfw + fwd, Павел, 23:47 , 14-Ноя-07, (5)  
          • ipfw + fwd, idle, 08:55 , 15-Ноя-07, (6)  
            • ipfw + fwd, Павел, 13:08 , 15-Ноя-07, (9)  
  • ipfw + fwd, axbat, 09:08 , 15-Ноя-07, (7)  
    • ipfw + fwd, Павел, 13:06 , 15-Ноя-07, (8)  
      • ipfw + fwd, Павел, 13:21 , 15-Ноя-07, (10)  
        • ipfw + fwd, Павел, 04:06 , 16-Ноя-07, (11)  
        • ipfw + fwd, Павел, 05:15 , 16-Ноя-07, (12)  
          • ipfw + fwd, idle, 10:16 , 16-Ноя-07, (13)  
            • ipfw + fwd, Павел, 10:47 , 16-Ноя-07, (14)  
              • ipfw, natd (fwd), kvasik, 12:41 , 07-Апр-10, (15)  

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw + fwd"  +/
Сообщение от idle (ok) on 14-Ноя-07, 10:31 
>[оверквотинг удален]
>ifout - внешний интерфейс
>10.4.25.210 - ip внешнего интерфейса
>192.168.0.2 - ip локальной машины с веб сервером
>
>вот что пишу в правило ipfw add fwd 192.168.0.2,80 tcp from 10.4.25.210:255.255.248.0
>to me http out via ${ifout}
>либо нечто вроде этого, всегда выдается ошибка:
>ipfw: getsockopt(IP_FW_ADD): Invalid argument
>
>незнаю что неправильно, что за неверный аргумент.... подскажите плиз!

man ipfw
To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.

Когда пересоберёте ядро, читайте man дальше, чтобы понять почему правило вида ipfw add fwd $local_machine не будет работать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 14-Ноя-07, 16:30 

>To enable fwd a custom kernel needs to be compiled with the
>option options IPFIREWALL_FORWARD.
>
>Когда пересоберёте ядро, читайте man дальше, чтобы понять почему правило вида ipfw
>add fwd $local_machine не будет работать.

Хотелось бы конечно сразу узнать почему и как тогда сделать? ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 14-Ноя-07, 16:40 
             If ipaddr is a local address, then matching packets will be for-
             warded to port (or the port number in the packet if one is not
             specified in the rule) on the local machine.

В переводе примерно
Если ipaddr - местный адрес, то соответствие пакетам будет перенаправлено на порт (или номер порта в пакете, если Вы не будете определены в правиле) на местной машине.

Из это не пойму почему "правило вида ipfw add fwd $local_machine не будет работать."

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ipfw + fwd"  +/
Сообщение от idle (ok) on 14-Ноя-07, 18:05 
>            
> If ipaddr is a local address, then matching packets will
>be for-
>            
> warded to port (or the port number in the packet
>if one is not
>            
> specified in the rule) on the local machine.

Тамже рядышком - The fwd action does not change the contents of the packet at all
и до конца абзаца.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 14-Ноя-07, 23:47 
>[оверквотинг удален]
>>be for-
>>            
>> warded to port (or the port number in the packet
>>if one is not
>>            
>> specified in the rule) on the local machine.
>
>Тамже рядышком - The fwd action does not change the contents of
>the packet at all
>и до конца абзаца.

Ну харе издеваться, лучше подсказали бы как это реализовать и с помощью чего ;-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "ipfw + fwd"  +/
Сообщение от idle (ok) on 15-Ноя-07, 08:55 
>[оверквотинг удален]
>>>if one is not
>>>            
>>> specified in the rule) on the local machine.
>>
>>Тамже рядышком - The fwd action does not change the contents of
>>the packet at all
>>и до конца абзаца.
>
>Ну харе издеваться, лучше подсказали бы как это реализовать и с помощью
>чего ;-)

В случае ipfw используйте NAT, а лучше переходите на pf.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 15-Ноя-07, 13:08 
>[оверквотинг удален]
>>>> specified in the rule) on the local machine.
>>>
>>>Тамже рядышком - The fwd action does not change the contents of
>>>the packet at all
>>>и до конца абзаца.
>>
>>Ну харе издеваться, лучше подсказали бы как это реализовать и с помощью
>>чего ;-)
>
>В случае ipfw используйте NAT, а лучше переходите на pf.

знать бы что это такое "pf" ))) и с чем его кушать )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "ipfw + fwd"  +/
Сообщение от axbat (ok) on 15-Ноя-07, 09:08 
По очереди.

>либо нечто вроде этого, всегда выдается ошибка:
>ipfw: getsockopt(IP_FW_ADD): Invalid argument

Настраивай файрвол. Точнее, правильно вживляй в систему. Не у тебя первого такая ошибка.

Второе. используй natd для форварда портов, как тебе уже сказали

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 15-Ноя-07, 13:06 
>По очереди.
>
>>либо нечто вроде этого, всегда выдается ошибка:
>>ipfw: getsockopt(IP_FW_ADD): Invalid argument
>
>Настраивай файрвол. Точнее, правильно вживляй в систему. Не у тебя первого такая
>ошибка.

Да, фаер вживлен, но ядро GENERIC без поддержки fwd, но как я понял оно тут и не нужно получается если использовать NAT или pf ?

>
>Второе. используй natd для форварда портов, как тебе уже сказали

Natd у меня настроен из локалки во вне, надо как-то настраивать его и в другую сторону?
или же использовать 2 ната?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 15-Ноя-07, 13:21 

в нат я нашел только нечто вроде
-redirect_address tcp внешнийIP:80 внутреннийIP:80

меня смущает слово редирект.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 16-Ноя-07, 04:06 
настроил я через нат! Спасибо кто помогал ))

использовал redirect.port tcp 192.168.0.2:80 80
но есть пару вопросов может кто знает??

во первых апач отдает удаленный адрес как 10.4.25.210 всегда, этот адрес внешнего интерфейса! А было бы неплохо чтобы он отдавал адрес именно клиента кто заходит на сайт, как такое то сделать? А то статистика на сайте теперь левая (((

второй вопросик как переадресовывать пользователей в зависимости от запрашиваемого имени, например если заходит на www.site1.ru то ридеректить на одну машину, если www.site2.ru то на другую?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 16-Ноя-07, 05:15 
проблему через ipfw add fwd я понял
т.е. локальному компу в пакете передается адрес назначения тот что передавался роутинговому серверу. Тогда возникает вопрос как заставить например апач принять запрос на IP который не в системе :-[ ??

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "ipfw + fwd"  +/
Сообщение от idle (ok) on 16-Ноя-07, 10:16 
>второй вопросик как переадресовывать пользователей в зависимости от запрашиваемого имени, например если
>заходит на www.site1.ru то ридеректить на одну машину, если www.site2.ru то
>на другую?

Редиректить где? Если в апаче - то через виртуальные хосты, если на фаерволле то неполучится.

>проблему через ipfw add fwd я понял
>т.е. локальному компу в пакете передается адрес назначения тот что передавался роутинговому
>серверу. Тогда возникает вопрос как заставить например апач принять запрос на
>IP который не в системе :-[ ??

Согласно RFC(и здравой логике) система такие пакеты вообще не должна принимать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "ipfw + fwd"  +/
Сообщение от Павел email(??) on 16-Ноя-07, 10:47 
>>второй вопросик как переадресовывать пользователей в зависимости от запрашиваемого имени, например если
>>заходит на www.site1.ru то ридеректить на одну машину, если www.site2.ru то
>>на другую?
>
>Редиректить где? Если в апаче - то через виртуальные хосты, если на
>фаерволле то неполучится.

да, попробовал, правда незнаю как через вирутальные, сделал через модуль редиректа с опцией [P] и прописыванием в файл hosts хостов чтобы имя хоста передавать.

>
>>проблему через ipfw add fwd я понял
>>т.е. локальному компу в пакете передается адрес назначения тот что передавался роутинговому
>>серверу. Тогда возникает вопрос как заставить например апач принять запрос на
>>IP который не в системе :-[ ??
>
>Согласно RFC(и здравой логике) система такие пакеты вообще не должна принимать.

это понятно, просто как решить собственно задачу, я её в другой теме описал... и здесь тоже немного выше ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "ipfw, natd (fwd)"  +/
Сообщение от kvasik (ok) on 07-Апр-10, 12:41 
Расскажите в чем тогда может быть разница реализации форвардинга методом natd, добавляя опции в /etc/natd.conf, например:
-redirect_port proto targetIP:targetPORT[-targetPORT]
-redirect_address localIP publicIP

и методом ipfw, где можно произвести те же настройки, внеся изменения в /etc/rc.firewall, например:
${ipfw} add fwd <протокол> from <откуда> to <куда> <дополнительные_условия>

Второе можно сделать только с опцией IPFIREWALL_FORWARD. В первом случае можно обойтись вообще без пересбоки ядра. Думаю на этом отличия не заканчиваются?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру