Re: Port forwarding

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Wed, 11 Feb 2004 02:24:35 +0100



On Wed, Feb 11, 2004 at 01:05:59AM +0100, iwf83(at)web.de wrote:


> Guten morgen : )


> 


> Ich bräuchte mal kurz eure Hilfe, ich hab schon alles durchgeschaut find aber nicht die Stelle die ich übesehe...


> 


> Ich will nen port forwarden und habe das wie folgt durchgeführt:


> 


> Meine Firewall:


> 


> ipfw="/sbin/ipfw"


> externalif="de0"


> $ipfw -q flush


> $ipfw -q zero


> $ipfw -q add deny all from 192.168.0.0/16 to any recv $externalif


> $ipfw -q add deny all from 10.0.0.0/8 to any recv $externalif


> $ipfw -q add deny all from 172.16.0.0/12 to any recv $externalif


> $ipfw -q add deny all from 127.0.0.0/8 to any recv $externalif


> $ipfw -q add reset tcp from any to me 110,25,1022,1023,2049,3306,137,138,139,587 via $externalif


> $ipfw -q add allow tcp from any to any 80 via $externalif


> $ipfw -q add unreach port udp from any to me 514 via $externalif


> $ipfw -q add divert natd all from any to any via $externalif


> $ipfw -q add allow all from any to any



Hier ist aber keine Forward Regel bei.



> Meine rc.conf (Auszug):


> 


> gateway_enable="YES"


> inetd_enable="YES"


> kern_securelevel_enable="NO"


> keymap="german.iso"


> linux_enable="YES"


> moused_enable="NO"


> moused_type="NO"


> 


> nfs_reserved_port_only="YES"


> nfs_server_enable="YES"


> 


> router_enable="NO"


> sendmail_enable="YES"


> sshd_enable="YES"


> 


> ifconfig_xl0="inet 192.168.1.1  netmask 255.255.255.0"


> ifconfig_de0="inet 192.168.10.1  netmask 255.255.255.0"


> 


> ppp_enable="YES"


> ppp_mode="ddial"


> ppp_nat="YES"


> ppp_profile=qdsl


> 


> firewall_enable="YES"


> firewall_script="/etc/fire"


> proftpd_enable="YES"


> 


> 


> Und natd.sh & natd.conf:


> 


> #!/bin/sh


> natd -dynamic -f /etc/natd.conf -n de0


> 


> 


> redirect_port tcp 192.168.1.150:4662 4662


> redirect_port udp 192.168.1.150:4662 4662



Ach so - du willst keinen Forward, sondern einen Statischen


Übersetzungseintrag.


Sag das doch gleich...



> Meiner Meinung nach, müßte das alles schick sein... soweit ich das interpretiert habe jedenfalls.


> Wäre echt nett wenn mir jemand sagt was ich vergessen hab.



Naja die reset und die erste allow Regel verursachen einen gewaltigen


Flurschaden und klauen der folgenden divert Regel Packete die du


bestimmt nicht dafür beabsichtigt hast.



Was mich stutzig macht ist der natd Aufruf mit -n de0.


Auf de0 hast du doch gar keine Offizielle IP drauf.


Ist das Absicht - wenn ja, dann musst du dem natd in und out Packete


getrennt vorwerfen, da der kein Unterscheidungskriterium mehr hat.



-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 11 Feb 2004 - 02:30:53 CET













search this site