Hozzászólások
Tenyleg senkinek nincs semmi 5lete :?:
- A hozzászóláshoz be kell jelentkezni
Üdv!
Nem biztos, hogy értem az összes részét a config-odnak, de szerintem próbáld csak ezzel a két sorral:
rdr on $ext_if proto tcp from any to $ext_if port 80 -> $web_belso port 80
nat on $ext_if from ($int_if:network) to any -> ($ext_if:0)
Ja es persze siman ezzel az egyeduli szaballyal kezdtem:
[ ... ]
de igy sem ment....
Szerintem azért mert, hiányzott a címfordítás "kifele"...
- A hozzászóláshoz be kell jelentkezni
Koszi, hogy valaszoltal. Ennek oromere ujbol nekiestem.
Megprobaltam a te ket soroddal, es ugy sem ment, de meglepodve vettem eszre, hogy most mar VEGRE MEGKAPJA a csomagot a belso_web 8O . Aztan a tcpdumpjabol meg azt is lattam, hogy kozvetlen a keronek akarja adni a valaszt.
Ekkor ugrott be, hogy mekkora hue vok. :oops: Nem adtam meg a web_belso-nek hogy a gateway a BSD legyen.
Igy hogy mar megadtam eleg egyetlen sor amit szinte az OSSZES manualban olvashattam:
[code:1:8d9bd3f72f]rdr on $ext_if proto tcp from any to $ext_if port 80 -> $web_belso port 80[/code:1:8d9bd3f72f]
Szoval a problema az en keszulekemben volt. 8)
Mindesetre koszonom a segitseget.
- A hozzászóláshoz be kell jelentkezni
Az IP-ket direkt takartam el...
konfig file-ok:
pf.conf
[code:1:c942beb777]
ext_if="sk0"
int_if="sk1"
web_belso="172.16.0.75"
fw_kulso="213.###.###.###"
set loginterface $ext_if
scrub in all
rdr on $ext_if proto tcp from any to $ext_if port 80 -> $web_belso port 80
rdr on $int_if proto tcp from $int_if:network to $ext_if port 80 -> $web_belso
no nat on $int_if proto tcp from $int_if to $int_if:network
nat on $int_if proto tcp from $int_if:network to $web_belso port 80 -> $int_if
pass in all
pass out all
[/code:1:c942beb777]
sysctl.conf
[code:1:c942beb777]
net.inet.ip.forwarding=1 # 1=Permit forwarding (routing) of packets
.... stb kikommentezve
[/code:1:c942beb777]
a biztonsag kedveert meg mielott vki megszolna...
bash-3.00# pfctl -e
pfctl: pf already enabled
bash-3.00# sysctl -w net.inet.ip.forwarding=1
net.inet.ip.forwarding: 1 -> 1
ezutan egy idegen geprol (IDEGEN IP) -rol bongrszoben megprobalom elerni az $fw_kulso cimet.
bash-3.00# pfctl -ss
all tcp 172.16.0.75:80 <- 213.###.###.###:80 <- (IDEGEN IP):46894 CLOSED:SYN_SENT
visszefele nem jon csomag, ezert megnezem tcpdump -al mi is tortenik....
bash-3.00# tcpdump -i sk0 port 80
tcpdump: listening on sk0, link-type EN10MB
00:53:09.807816 (IDEGEN IP).33340 > 213.###.###.###.www: S 362931798:362931798(0) win 5840 <mss 1460,sackOK,timestamp 43284118 0,nop,wscale 2> (DF)
00:53:12.807159 (IDEGEN IP).33340 > 213.###.###.###.www: S 362931798:362931798(0) win 5840 <mss 1460,sackOK,timestamp 43287118 0,nop,wscale 2> (DF)
bash-3.00# tcpdump -i sk1 port 80
tcpdump: listening on sk1, link-type EN10MB
01:23:39.903730 (IDEGEN IP).39773 > 172.16.0.75.www: S 2292635312:2292635312(0) win 5840 <mss 1460,sackOK,timestamp 45114435 0,nop,wscale 2> (DF)
01:23:42.903343 (IDEGEN IP).39773 > 172.16.0.75.www: S 2292635312:2292635312(0) win 5840 <mss 1460,sackOK,timestamp 45117435 0,nop,wscale 2> (DF)
na a ket dump-bol azt szurtem le, hogy atdobja a kerest a 172.16.0.75-nek, de oda megsem erkezik semmi...
# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
DE ha a pf.conf -ban ez a ket szabaly van:
[code:1:c942beb777]nat on $int_if proto tcp from any to $web_belso port 80 -> ($int_if)
rdr on $ext_if proto tcp from any to any port 80 -> $web_belso[/code:1:c942beb777]
Akkor mukodik, de ezzel nem erek sokmindent, mert igy ugye minden access olyan mintha az fw geprol jonne. Igy nem lehet normalisan loggolni mi is tortenik a belso weben.
Vkinek vmi 5lete? Merten most nagyon meg vagyok love miert nem megy.
Ja es persze siman ezzel az egyeduli szaballyal kezdtem:
[code:1:c942beb777]rdr on $ext_if proto tcp from any to $ext_if port 80 -> $web_belso port 80[/code:1:c942beb777]
de igy sem ment....
Elore is koszonok bmien otletet, amit meg nem probaltam...
- A hozzászóláshoz be kell jelentkezni