squid+sams+pf не могу прокинуть порты

16.02.2011, 23:27. **Показов** 2271. **Ответов** 3

Author24 — интернет-сервис помощи студентам

Господа, прошу не пинать, пишу на форумах впервые!! Разбирался бы сам, курил маны, но время жмет очень сильно! Проблема состоит в следующем: в учреждении есть сеть 192.168.50.0/24, есть домен на в2к3. Все это дело рвется в инет через шлюз. вот собственно понеслось!

на чем все крутится -->

FreeBSD proxy.mmuftp.local 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:55:53 UTC 2010 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

стоит squid + sams т.е. весь трафик идет через проксю! на этом моменте все работает отлично, но встала задача прокинуть порты для рдп и хамача!! + в дальнейшем смтп и поп3. Почитав инфу, решил поставить pf..т.к. в ядро он не вкомпилен, запускаю его модулем!

конфиг rc.conf

rc.conf

keymap="ru.koi8-r"
sshd_enable="YES"
ifconfig_rl1="inet 192.168.1.4 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
ifconfig_rl0="inet 192.168.50.2 netmask 255.255.255.0"
hostname="proxy.mmuftp.local"
apache22_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"
inetd_enable="YES"
pf_enable="YES"
gateway_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"

pf.conf

ext_if="rl1"
int_if="rl0"
internal_net="192.168.50.0/24"

nat on $ext_if inet proto tcp from $internal_net port {smtp, pop3} to any port {smtp, pop3} -> ($ext_if)
nat on $ext_if inet proto tcp from $internal_net port 3389 to any port 3389 -> ($ext_if)
nat on $ext_if from $internal_net to any -> ($ext_if)
rdr on $int_if proto tcp from $internal_net to any port 80 -> 127.0.0.1 port 3128
pass out

если делаю так, то перестает работать даже сквид! если же убрать из rc.conf строку gateway_enable="YES" то в инет пускает, но порты все равно не прокидываются

pf вижу впервые, документацию почитал, но честно говоря вник не особо, а времени экспериментировать нет, да и возможности тоже. Может у кого есть рабочий конфиг, киньте plz, а я дальше буду читать инфу и вникать! спасибо!

P.S. в логах pf одна строка, и то непонятной кодировки. вообщем не читаема!

@k0xy · 17.02.2011, 10:27

у вас зачем-то вместо rdr стоят nat. Натить надо пакеты , а порты - пробрасывать)

Добавлено через 17 минут

Сообщение от k0xy

у вас зачем-то вместо rdr стоят nat. Натить надо пакеты , а порты - пробрасывать)

Не полностью ответил , у вас есть нат , но нет проброса. Для этого нужно 2 правила и чтобы машина с фрей была шлюзом для тех , куда пробрасываете порты.
rdr on $ext_if proto { tcp, udp } from any to $external_addr port 25 -> $smtp_server port 25
nat on $ext_if proto { tcp, udp } from $smtp_server to any -> $external_addr

17.02.2011, 14:48

Сообщение от k0xy

Не полностью ответил , у вас есть нат , но нет проброса. Для этого нужно 2 правила и чтобы машина с фрей была шлюзом для тех , куда пробрасываете порты.
rdr on $ext_if proto { tcp, udp } from any to $external_addr port 25 -> $smtp_server port 25
nat on $ext_if proto { tcp, udp } from $smtp_server to any -> $external_addr

А можно здесь поподробнее. $smtp_server - это я так предполагаю адрес почтового сервера типо mail.ru. А это $external_addr адрес в локальной сети откуда идет запрос? а как разрешить все входящие и исходящие сообщения... pass out и pass in? с защитой позже разберусь, сейчас главное чтобы работал банк-клиент и оутлук у шефа!!

@k0xy · 17.02.2011, 15:04

Сообщение от santi11

А можно здесь поподробнее. $smtp_server - это я так предполагаю адрес почтового сервера типо mail.ru. А это $external_addr адрес в локальной сети откуда идет запрос? а как разрешить все входящие и исходящие сообщения... pass out и pass in? с защитой позже разберусь, сейчас главное чтобы работал банк-клиент и оутлук у шефа!!

$smtp_server - почтовый сервер
$ext_if внешний интерфейс
$external_adrdr - внешний айпишник

Для разрешения надо как-то так:
pass in on $interface all
pass out on $interface all

pf щупал давно и не глубоко.

santi11
		1
	squid+sams+pf не могу прокинуть порты 16.02.2011, 23:27. Показов 2271. Ответов 3 Метки нет (Все метки) Господа, прошу не пинать, пишу на форумах впервые!! Разбирался бы сам, курил маны, но время жмет очень сильно! Проблема состоит в следующем: в учреждении есть сеть 192.168.50.0/24, есть домен на в2к3. Все это дело рвется в инет через шлюз. вот собственно понеслось! на чем все крутится --> FreeBSD proxy.mmuftp.local 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:55:53 UTC 2010 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386 стоит squid + sams т.е. весь трафик идет через проксю! на этом моменте все работает отлично, но встала задача прокинуть порты для рдп и хамача!! + в дальнейшем смтп и поп3. Почитав инфу, решил поставить pf..т.к. в ядро он не вкомпилен, запускаю его модулем! конфиг rc.conf rc.conf keymap="ru.koi8-r" sshd_enable="YES" ifconfig_rl1="inet 192.168.1.4 netmask 255.255.255.0" defaultrouter="192.168.1.1" ifconfig_rl0="inet 192.168.50.2 netmask 255.255.255.0" hostname="proxy.mmuftp.local" apache22_enable="YES" squid_enable="YES" mysql_enable="YES" sams_enable="YES" inetd_enable="YES" pf_enable="YES" gateway_enable="YES" pf_rules="/etc/pf.conf" pflog_enable="YES" pflog_logfile="/var/log/pf.log" pf.conf ext_if="rl1" int_if="rl0" internal_net="192.168.50.0/24" nat on $ext_if inet proto tcp from $internal_net port {smtp, pop3} to any port {smtp, pop3} -> ($ext_if) nat on $ext_if inet proto tcp from $internal_net port 3389 to any port 3389 -> ($ext_if) nat on $ext_if from $internal_net to any -> ($ext_if) rdr on $int_if proto tcp from $internal_net to any port 80 -> 127.0.0.1 port 3128 pass out если делаю так, то перестает работать даже сквид! если же убрать из rc.conf строку gateway_enable="YES" то в инет пускает, но порты все равно не прокидываются pf вижу впервые, документацию почитал, но честно говоря вник не особо, а времени экспериментировать нет, да и возможности тоже. Может у кого есть рабочий конфиг, киньте plz, а я дальше буду читать инфу и вникать! спасибо! P.S. в логах pf одна строка, и то непонятной кодировки. вообщем не читаема!

@k0xy 222 / 180 / 5 Регистрация: 12.01.2009 Сообщений: 1,094
	17.02.2011, 10:27	2
	у вас зачем-то вместо rdr стоят nat. Натить надо пакеты , а порты - пробрасывать) Добавлено через 17 минут Сообщение от k0xy у вас зачем-то вместо rdr стоят nat. Натить надо пакеты , а порты - пробрасывать) Не полностью ответил , у вас есть нат , но нет проброса. Для этого нужно 2 правила и чтобы машина с фрей была шлюзом для тех , куда пробрасываете порты. rdr on $ext_if proto { tcp, udp } from any to $external_addr port 25 -> $smtp_server port 25 nat on $ext_if proto { tcp, udp } from $smtp_server to any -> $external_addr 0

santi11
	17.02.2011, 14:48	3
	Сообщение от k0xy Не полностью ответил , у вас есть нат , но нет проброса. Для этого нужно 2 правила и чтобы машина с фрей была шлюзом для тех , куда пробрасываете порты. rdr on $ext_if proto { tcp, udp } from any to $external_addr port 25 -> $smtp_server port 25 nat on $ext_if proto { tcp, udp } from $smtp_server to any -> $external_addr А можно здесь поподробнее. $smtp_server - это я так предполагаю адрес почтового сервера типо mail.ru. А это $external_addr адрес в локальной сети откуда идет запрос? а как разрешить все входящие и исходящие сообщения... pass out и pass in? с защитой позже разберусь, сейчас главное чтобы работал банк-клиент и оутлук у шефа!!

@k0xy 222 / 180 / 5 Регистрация: 12.01.2009 Сообщений: 1,094
	17.02.2011, 15:04	4
	Сообщение от santi11 А можно здесь поподробнее. $smtp_server - это я так предполагаю адрес почтового сервера типо mail.ru. А это $external_addr адрес в локальной сети откуда идет запрос? а как разрешить все входящие и исходящие сообщения... pass out и pass in? с защитой позже разберусь, сейчас главное чтобы работал банк-клиент и оутлук у шефа!! $smtp_server - почтовый сервер $ext_if внешний интерфейс $external_adrdr - внешний айпишник Для разрешения надо как-то так: pass in on $interface all pass out on $interface all pf щупал давно и не глубоко. 0