Imam jednu masinu koja vrti FreeBSD koja nam sluzi kao firewall i router. Spojeni smo na 128kbit link i imamo fiksnu IP adresu.
Unutar LAN-a imam windows masinu sa IIS-om, htio bih preusmjeriti vanjski port 8080 na port 80 na windows masini.
Ne mogu koristiti port 80 na firewallu, zato sto na njemu vec ima apache koji slusa na 80.
Npr, da izvana ljudi mogu otkucati: http://1.2.3.4:8080/
gdje 1.2.3.4 vanjski IP (ko fol) a da ih to preusmjerava na interni IP 192.168.0.5 na port 80.
Vec nesto slicno imamo, na masini je otvoren port 49201, koji se preusmjerava na isti onaj gore IP i ovaj port, koji koristimo za jednu drugu aplikaciju, i to radi ko struja.
Ja samo poksuao na osnovu postojecih pravila koja rade ovo gore napraviti isto za web server ali nesto nece.
Sumnjan na ono portmap, ali nigdje nisam nasao adekvatno objasnjenje.
Ovako mi izgledaju trenutni konfiguracijski fajlovi: ipf.rules:
pass out quick on fxp0 proto tcp from any to any keep state
pass out quick on fxp0 proto udp from any to any keep state
pass out quick on fxp0 proto icmp from any to any keep state
block out quick on fxp0 all
pass in quick on fxp0 proto tcp/udp from any to 1.2.3.4/32 port = 21 keep state
pass in quick on fxp0 proto tcp/udp from any to 1.2.3.4/32 port = 22 keep state
pass in quick on fxp0 proto tcp/udp from any to 1.2.3.4/32 port = 80 keep state
pass in quick on fxp0 proto tcp/udp from any to any port = 49201 keep state
pass in quick on fxp0 proto tcp/udp from any to 1.2.3.4/32 port = 25 keep state
pass in quick on fxp0 proto tcp/udp from any to 1.2.3.4/32 port = 110 keep state
block in on fxp0 all
pass out quick on rl0 proto tcp from any to any keep state
pass out quick on rl0 proto udp from any to any keep state
pass out quick on rl0 proto icmp from any to any keep state
block out quick on rl0 all
pass in quick on rl0 proto tcp from any to any keep state
pass in quick on rl0 proto udp from any to any keep state
pass in quick on rl0 proto icmp from any to any keep state
block in quick on rl0 all
ipnat.rules:
map fxp0 192.168.0.0/24 -> 1.2.3.4/32 proxy port ftp ftp/tcp
map fxp0 192.168.0.0/24 -> 1.2.3.4/32 portmap tcp/udp 40000:65000
map fxp0 192.168.0.0/24 -> 1.2.3.4/32
rdr fxp0 1.2.3.4/32 port 49201 -> 192.168.0.5 port 49201 tcp
Ja sam dodao sljedecu liniju u ipf.rules:
pass in quick on fxp0 proto tcp/udp from any to any port = 8080 keep state
i ovo u ipnat.rules:
rdr fxp0 1.2.3.4/32 port 8080-> 192.168.0.5 port 80 tcp
Medjutim ne pomaze[/b]
Okej, znam sta trebam uraditi, ali me interesuje kako
Sto je najgore vec imam istu stvar konfigurisanu na toj masini samo je u pitanju port 49201, i to radi.
ovako sam ja napravio na routeru (cisco 805):
[natiranje i otvaranje komunikacionog prota]
ip nat inside source static tcp 192.168.1.5 80 217.76.204.12 8080
objasnjenje:
ip nat inside source static tcp
[dozvola za incoming traffic]
access-list 101 permit tcp any 217.76.204.12 8080
access-list 101 permit tcp any gt 1023 217.76.204.12 est
access-list permit tcp <dest_ip> <dest_port>
ovdje zanemari grupu
heheh… jedno je cisco router, a drugo je FreeBSD masina.
sve si dobro uradio, ali mogao bi otvoriti i udp port i probati da nije do toga ( iskreno receno - sumnjam ali ipak ).
rdr fxp0 1.2.3.4/32 port 8080-> 192.168.0.5 port 80 udp
i ja bas nisam siguran ali - da li je vazan razmak izmedju porta 8080 i strelice u zadnjem redu koji si dodao? kod onog 49… porta je razmak a kod 8080 porta nisi napravio razmak… check it out…
[quote]heheh… jedno je cisco router, a drugo je FreeBSD masina.
sve si dobro uradio, ali mogao bi otvoriti i udp port i probati da nije do toga ( iskreno receno - sumnjam ali ipak ).
rdr fxp0 1.2.3.4/32 port 8080-> 192.168.0.5 port 80 udp
i ja bas nisam siguran ali - da li je vazan razmak izmedju porta 8080 i strelice u zadnjem redu koji si dodao? kod onog 49… porta je razmak a kod 8080 porta nisi napravio razmak… check it out…
mozda ti pomogne… Pozdrav
ICE[/quote]
da da inicijalno i jeste bilo sa razmakom, ono gore je greskica u kuckanju.
Probao i UDP i ne radi
Cak sam dao pristup jednog “strucnjaku”, cije ime necemo spominjati zbog javnog blama, pristup serveru da proba nastimati, i probao je raznih stvari, ali bezuspjesno. Zakljucak na kraju je bio “cudno”.
Jednostavno jedna od onih sitnih stvari koje ocekujete da radi, ali nece pa nece, zbog nekog glupog razloga.
pass in quick on fxp0 proto tcp/udp from IP to 1.2.3.4/32 port = 8080 keep state
sad neznam koja ti je unutarnja ip od IIS-a[/quote]
IP IIS-a je 192.168.0.5, ali se on nalazi na unutrasnjoj strani firewall-a, tj. na kartici rl0, a ako primjetis firewall je nastiman da pusta SVE na rl0.
na fxp0 mu ne moze nikako doci promet sa unutrasnjeg servera.
pass in quick on fxp0 proto tcp/udp from IP to 1.2.3.4/32 port = 8080 keep state
sad neznam koja ti je unutarnja ip od IIS-a[/quote]
IP IIS-a je 192.168.0.5, ali se on nalazi na unutrasnjoj strani firewall-a, tj. na kartici rl0, a ako primjetis firewall je nastiman da pusta SVE na rl0.
na fxp0 mu ne moze nikako doci promet sa unutrasnjeg servera.[/quote]
aaaa… blink… a da mu dozvolis da IIS sa interne adrese i porta 8080 moze slati podatke prema vani… ipak - to je web server… znaci nesto kao
pass out quick on fxp0 proto tcp/udp from rl0 to any port = 8080 keep state
ili mozda
pass out quick on fxp0 proto tcp/udp from rl0 to any keep state
samo nagadjam… nadam se da ce ti pomoci, iako u zivotu nisam vidio BSD niti sam ga ikad konfigurirao
ali nije tema ovog threada.
