<< | обсуждения | >> февраль 2006 | архив + поиск << | по дате | >>

[freebsd] Re: [freebsd] https-сервер в локальной сети, доступ извне....


  • From: "Alexander Nowikow" <polkana>
  • Date: Sat, 11 Feb 2006 19:42:19 +0100
  • Subject: [freebsd] Re: [freebsd] https-сервер в локальной сети, доступ извне....
  • References: <218840707.20060211183248@imppulse.ru>
  • Sender: polkana

Здравствуйте,

Для начала, я бы использовал родной скрипт ipfw - /etc/rc.firewall
и открыл бы firewall - firewall_type="OPEN" в /etc/rc.conf

Если не будет работать, то искать ошибку далее.
Если заработает с открытым firewall , используйте в самом конце скрипта
запрещающий руль с логом.
Лог смотреть тоже просто
#tail /var/log/security

Все что я пока посоветовал бы..

С уважением
Александр.

----- Original Message ----- 
From: "Roman Kizeev" <romashka>
To: <freebsd>
Sent: Saturday, February 11, 2006 4:32 PM
Subject: [freebsd] https-сервер в локальной сети, доступ извне....


> Здравствуйте, freebsd.
>
> Есть локалка 192.168.6.0/24 и есть шлюз с двумя сетевухами (rl0 - смотрит
в локалку, rl1 - в
> Интернет (xxx.yyy.zzz.aa)), ОС FreeBSD 6.0, ядро собрано с
> options IPDIVERT
> options IPFIREWALL
> options IPFIREWALL_VERBOSE
> options IPFIREWALL_FORWARD
>
> В rc.conf:
> ifconfig_rl0="inet 192.168.6.89  netmask 255.255.255.0"
> ifconfig_rl1="inet xxx.yyy.zzz.aa netmask 255.255.255.248"
> gateway_enable="YES"
> #sshd_enable="YES"
> firewall_enable="YES"
> firewall_script="/etc/rc.fw"
> natd_enable="YES"
> natd_interface="rl1"
> natd_flags="-f /etc/natd.conf"
>
> В natd.conf:
> use_sockets yes
> same_ports yes
> unregistered_only yes
> redirect_port tcp 192.168.6.18:22       22
> redirect_port tcp 192.168.6.18:443      443
>
> В rc.fw:
>
> #!/bin/sh
>
> ipfw="/sbin/ipfw"
>
> iif="rl0" Внутренний интерфейс
> eif="rl1" Внешний интерфейс
> iip="192.168.6.89" Внутренний ip
> eip="xxx.yyy.zzz.aa" Внешний ip
> siteomatip="192.168.6.18" ip https сервера
>
> ${ipfw} -f flush
>
> ${ipfw} add divert natd log tcp from xxx.yyy.zzz.bb to $eip 22 in via $eif
> ${ipfw} add divert natd log tcp from $siteomatip 22 to xxx.yyy.zzz.bb out
via $eif
>
> ${ipfw} add divert natd log tcp from xxx.yyy.zzz.bb to $eip 443 in via
$eif
> ${ipfw} add divert natd log tcp from $siteomat 443 to xxx.yyy.zzz.bb out
via $eif
>
> ${ipfw} add deny icmp from any to any frag
>
> ${ipfw} add deny udp from any 137-139 to any via $eif
> ${ipfw} add deny udp from any to any 137-139 via $eif
>
> ${ipfw} add pass all from any to any via lo0
>
> ${ipfw} add pass all from any to any via $iif
>
> ${ipfw} add pass icmp from any to any
>
> ${ipfw} add pass udp from any to any 53
> ${ipfw} add pass udp from any 53 to any
>
> ${ipfw} add pass log tcp from xxx.yyy.zzz.bb to $siteomatip 22 in via $eif
> ${ipfw} add pass log tcp from $eip 22 to xxx.yyy.zzz.bb out via $eif
>
> ${ipfw} add pass log tcp from xxx.yyy.zzz.bb to $siteomatip 443 in via
$eif
> ${ipfw} add pass log tcp from $eip 443 to xxx.yyy.zzz.bb out via $eif
>
> Цель: надо, чтобы с адреса xxx.yyy.zzz.bb был виден https-сервер.....
> Но в security видим:
>
> ipfw: 700 Divert 8668 TCP xxx.yyy.zzz.bb:1098 xxx.yyy.zzz.aa:443 in via
rl1
> ipfw: 2500 Accept TCP xxx.yyy.zzz.bb:1098 192.168.6.18:443 in via rl1
> ipfw: 700 Divert 8668 TCP xxx.yyy.zzz.bb:1098 xxx.yyy.zzz.aa:443 in via
rl1
> ipfw: 2500 Accept TCP xxx.yyy.zzz.bb:1098 192.168.6.18:443 in via rl1
> ipfw: 700 Divert 8668 TCP xxx.yyy.zzz.bb:1098 xxx.yyy.zzz.aa:443 in via
rl1
> ipfw: 2500 Accept TCP xxx.yyy.zzz.bb:1098 192.168.6.18:443 in via rl1
>
> И все.... я так понял: пакеты на сервер поступают, а с него тишина....
>
> Помогите разобраться, ткните в man или ссылку, чего еще не хватает....
>
>
> -- 
> С уважением,
>  Roman                          romashka
>
> -- 
> ----------------------------------------------------------- 
> Для закрытия подписки необходимо направить письмо по адресу
> mail-list с текстом "unsubscribe freebsd" в поле темы (subject)
письма.
>
> Рекомендуемая кодировка сообщений - KOI8-R
>
>

-- 
----------------------------------------------------------- 
дМС ЪБЛТЩФЙС РПДРЙУЛЙ ОЕПВИПДЙНП ОБРТБЧЙФШ РЙУШНП РП БДТЕУХ
mail-list У ФЕЛУФПН "unsubscribe freebsd" Ч РПМЕ ФЕНЩ (subject) РЙУШНБ.




Архив создан MHonArc Техническая поддержка CYGNUS HOSTING