Subnets.ru

Всем привет
Захотел RDP организовать
по такой схеме

действовал по мотивам http://subnets.ru/blog/?p=1605

имеется вот такой конфиг

Код: Выделить всё: dos@vis:/etc# cat rc.conf hostname="vis" ifconfig_em0="inet x.x.x.158 netmask 255.255.255.240" defaultrouter="x.x.x.145" ################################# ifconfig_em1="inet 192.168.50.99 netmask 255.255.255.0" route_local="-net 192.168.50.0/24 -interface em1" sshd_enable="YES" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="AUTO" #firewall firewall_enable="YES" firewall_script="/etc/ipfw.rules" firewall_logging="YES" gateway_enable="YES" #natd natd_enable="YES" natd_interface="em0" natd_flags="-dynamic -m" #natd_flags="-f /etc/natd.conf" #natd_flags="-redirect_port udp 192.168.50.20:3389 3389 -redirect_port udp 192.168.50.20:4899 4899" dos@vis:/etc# netstat -rn Routing tables Internet: Destination Gateway Flags Netif Expire default x.x.x.145 UGS em0 x.x.x.144/28 link#1 U em0 x.x.x.158 link#1 UHS lo0 127.0.0.1 link#3 UH lo0 192.168.50.0/24 link#2 U em1 192.168.50.99 link#2 UHS lo0 dos@vis:~/kernels# kldstat -v -q ............. ............. ............. 473 x86bios 2 2 0xffffffff82421000 20198 ipfw.ko (/boot/kernel/ipfw.ko) Contains modules: Id Name 501 ipfw 3 1 0xffffffff82442000 13f0 ipdivert.ko (/boot/kernel/ipdivert.ko) Contains modules: Id Name 502 ipdivert dos@vis:/home/deos/forward_port# ipfw -t list 00001 Tue Jul 10 19:59:42 2018 allow ip from any to any via em1 00015 Tue Jul 10 19:59:36 2018 allow ip from any to any via lo0 00018 Tue Jul 10 19:59:19 2018 divert 8668 ip from any to any in via em0 00019 check-state :default 00022 skipto 800 tcp from any to 8.8.8.8 53 out via em0 setup keep-state :default 00023 Tue Jul 10 19:58:19 2018 skipto 800 udp from any to 8.8.8.8 53 out via em0 keep-state :default 00110 skipto 800 tcp from any to any 22 out via em0 setup keep-state :default 00415 allow tcp from t.t.t.0/24 to any 22 in via em0 setup limit src-addr 5 :default 00421 deny tcp from any to any 22 in via em0 00700 Tue Jul 10 19:59:19 2018 deny log ip from any to any in via em0 00750 deny log ip from any to any out via em0 00800 Tue Jul 10 19:58:54 2018 divert 8668 ip from any to any out via em0 00801 Tue Jul 10 19:58:54 2018 allow ip from any to any 65535 deny ip from any to any dos@vis:/home/deos/forward_port#

Код: Выделить всё: dos@vis:/home/deos/forward_port# cat 1 111nat.sh* 1natd_.sh* dos@vis:/home/deos/forward_port# cat 111nat.sh #!/bin/sh natd -p 8670 -s -m -a x.x.x.158 -redirect_port tcp 192.168.50.20:3389 3389 ipfw add 2 divert 8670 tcp from any to x.x.x.158 3389 ipfw add 3 divert 8670 tcp from 192.168.50.20 3389 to any natd -s -m -a 192.168.50.99 -p 8671 ipfw add 12 divert 8671 tcp from any to 192.168.50.99 dst-port 3389 ipfw add 13 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99

Код: Выделить всё: dos@vis:/home/deos/forward_port# dos@vis:/home/deos/forward_port# dos@vis:/home/deos/forward_port# ./111nat.sh 00002 divert 8670 tcp from any to x.x.x.158 3389 00003 divert 8670 tcp from 192.168.50.20 3389 to any 00012 divert 8671 tcp from any to 192.168.50.99 3389 00013 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99 dos@vis:/home/deos/forward_port# ipfw -t list 00001 Tue Jul 10 20:02:54 2018 allow ip from any to any via em1 00002 divert 8670 tcp from any to x.x.x.158 3389 00003 divert 8670 tcp from 192.168.50.20 3389 to any 00012 divert 8671 tcp from any to 192.168.50.99 3389 00013 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99 00015 Tue Jul 10 20:02:51 2018 allow ip from any to any via lo0 00018 Tue Jul 10 20:01:25 2018 divert 8668 ip from any to any in via em0 00019 check-state :default 00022 skipto 800 tcp from any to 8.8.8.8 53 out via em0 setup keep-state :default 00023 Tue Jul 10 19:58:19 2018 skipto 800 udp from any to 8.8.8.8 53 out via em0 keep-state :default 00080 skipto 800 icmp from any to any out via em0 keep-state :default 00110 skipto 800 tcp from any to any 22 out via em0 setup keep-state :default 00120 skipto 800 ip from any to t.t.t.0/24 3389 out via em0 setup keep-state :default 00121 skipto 800 ip from t.t.t.0/24 to any 3389 in via em0 00122 deny ip from any to any 3389 in via em0 00415 allow tcp from t.t.t.0/24 to any 22 in via em0 setup limit src-addr 5 :default 00421 deny tcp from any to any 22 in via em0 00700 Tue Jul 10 20:01:25 2018 deny log ip from any to any in via em0 00750 deny log ip from any to any out via em0 00800 Tue Jul 10 19:58:54 2018 divert 8668 ip from any to any out via em0 00801 Tue Jul 10 19:58:54 2018 allow ip from any to any 65535 deny ip from any to any dos@vis:/home/deos/forward_port#

шлюз на 192.168.50.20 был 192.168.20.98

для эксперимента поменял на 192.168.20.99

и вот результат , но RDP нет

Код: Выделить всё: dos@vis:/home/deos/forward_port# tcpdump -i em1 port 3389 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 262144 bytes 20:39:02.758404 IP t.t.t.248.1312 > 192.168.50.20.rdp: Flags [S], seq 1695610262, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:39:02.758819 IP 192.168.50.20.rdp > t.t.t.248.1312: Flags [S.], seq 1719965283, ack 1695610263, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:39:05.757407 IP 192.168.50.20.rdp > t.t.t.248.1312: Flags [S.], seq 1719965283, ack 1695610263, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:39:05.759258 IP t.t.t.248.1312 > 192.168.50.20.rdp: Flags [S], seq 1695610262, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:39:11.757657 IP 192.168.50.20.rdp > t.t.t.248.1312: Flags [S.], seq 1719965283, ack 1695610263, win 8192, options [mss 1460,nop,nop,sackOK], length 0 20:39:11.762247 IP t.t.t.248.1312 > 192.168.50.20.rdp: Flags [S], seq 1695610262, win 8192, options [mss 1460,nop,nop,sackOK], length 0 20:39:32.361786 IP t.t.t.248.1316 > 192.168.50.20.rdp: Flags [S], seq 1058882110, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:39:32.362028 IP 192.168.50.20.rdp > t.t.t.248.1316: Flags [S.], seq 3438164068, ack 1058882111, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:39:35.360440 IP t.t.t.248.1316 > 192.168.50.20.rdp: Flags [S], seq 1058882110, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:39:35.363608 IP 192.168.50.20.rdp > t.t.t.248.1316: Flags [S.], seq 3438164068, ack 1058882111, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:39:41.363453 IP t.t.t.248.1316 > 192.168.50.20.rdp: Flags [S], seq 1058882110, win 8192, options [mss 1460,nop,nop,sackOK], length 0 20:39:41.368859 IP 192.168.50.20.rdp > t.t.t.248.1316: Flags [S.], seq 3438164068, ack 1058882111, win 8192, options [mss 1460,nop,nop,sackOK], length 0

как видно

подменить SRC адрес «вопрощающего»

не получилось

RDP не работает.
При этом в сети 192.168.50.0/24 RDP работает

Подскажите пожалуйста, чего я не так сделал

dimondack писал(а):для эксперимента поменял на 192.168.20.99

Не ясно откуда взялась 20я подсеть. Если опечатка и шлюз все же 50.99, то двойной нат тут тогда и не нужен.

dimondack писал(а):чего я не так сделал

1. Смотрим:

dimondack писал(а):00122 deny ip from any to any 3389 in via em0

А где разрешающие правила ? О них гласит статья:

Не лишним будет добавить разрешающие правила, например если у вас firewall закрытого типа:
ipfw add 720 allow tcp from any to 10.0.2.18 80
ipfw add 730 allow tcp from 10.0.2.18 80 to any

2. Сравниваем это:

dimondack писал(а):ipfw add 12 divert 8671 tcp from any to 192.168.50.99 dst-port 3389

С вариантом из статьи:

ipfw add 705 divert 8671 tcp from any to 10.0.2.18 dst-port 80

Ничего не напрягает ?

3. Так же ты не обратил внимание на нумерацию правил, а номера правил выделены жирным, что как бы намекает на важность расстановки правил.

4. Так же статья же гласит:

Если у вас возникнут проблемы, то траблшутинг начните с просмотра tcpdump, добавлением ключа -v к запуску natd, добавив слово log в добавленные правила ipfw.

Все делал ?

P.S. Смотри хотя бы вывод ipfw show, а не list, т.к. show показывает счетчики на правилах и становится хоть чуть понятно отрабатывают эти правила или нет.

Да, опечатка была.

шлюзом назначаю em1 = 192.168.50.99

и ошибки были.

все будет исправлено.. и учтено

взгляд со стороны всегда полезен.

Научить как меньше косячить в подобных ситуациях ?

После чего сохраняем по F2 и получаем готовый к применению файл с правилами в которых, вероятно, нужно поправить только их номера (сохраняя порядок) под реалии своего фаирвола.

Сказано - Сделано

Код: Выделить всё: dos@vis:/home/dos/forward_port# cat 900.sh #!/bin/sh natd -p 8670 -s -m -a xxxxxxxxx.158 -redirect_port tcp 192.168.50.20:3389 3389 ipfw add 2 divert 8670 tcp from any to xxxxxxxxx.158 3389 ipfw add 10 divert 8670 tcp from 192.168.50.20 3389 to any ipfw add 11 allow tcp from any to 192.168.50.20 3389 ipfw add 12 allow tcp from 192.168.50.20 3389 to any

Код: Выделить всё: root@vis:/home/dos # tcpdump -i em1 port 3389 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 262144 bytes 20:54:19.018364 IP ttttttttt.209.2384 > 192.168.50.20.rdp: Flags [S], seq 688414354, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:54:19.018744 IP 192.168.50.20.rdp > ttttttttt.209.2384: Flags [S.], seq 3947250430, ack 688414355, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:54:22.013831 IP ttttttttt.209.2384 > 192.168.50.20.rdp: Flags [S], seq 688414354, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:54:22.020645 IP 192.168.50.20.rdp > ttttttttt.209.2384: Flags [S.], seq 3947250430, ack 688414355, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:54:28.018040 IP ttttttttt.209.2384 > 192.168.50.20.rdp: Flags [S], seq 688414354, win 8192, options [mss 1460,nop,nop,sackOK], length 0 20:54:28.018904 IP 192.168.50.20.rdp > ttttttttt.209.2384: Flags [S.], seq 3947250430, ack 688414355, win 8192, options [mss 1460,nop,nop,sackOK], length 0

не.. непорядок
чужим нечего тут делать, ходят тут всякие..

Код: Выделить всё: dos@vis:/home/dos/forward_port# cat 900.sh #!/bin/sh natd -p 8670 -s -m -a xxxxxxxxxx.158 -redirect_port tcp 192.168.50.20:3389 3389 ipfw add 2 divert 8670 tcp from any to xxxxxxxxxx.158 3389 ipfw add 10 divert 8670 tcp from 192.168.50.20 3389 to any ipfw add 11 allow tcp from any to 192.168.50.20 3389 ipfw add 12 allow tcp from 192.168.50.20 3389 to any natd -s -m -a 192.168.50.99 -p 8671 ipfw add 5 divert 8671 tcp from any to 192.168.50.20 dst-port 3389 ipfw add 6 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99

Код: Выделить всё: 20:59:42.176867 IP 192.168.50.99.2391 > 192.168.50.20.rdp: Flags [S], seq 1748698112, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:59:42.177284 IP 192.168.50.20.rdp > 192.168.50.99.2391: Flags [S.], seq 4249666264, ack 1748698113, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:59:45.176866 IP 192.168.50.99.2391 > 192.168.50.20.rdp: Flags [S], seq 1748698112, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 20:59:45.180635 IP 192.168.50.20.rdp > 192.168.50.99.2391: Flags [S.], seq 4249666264, ack 1748698113, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 20:59:51.177903 IP 192.168.50.20.rdp > 192.168.50.99.2391: Flags [S.], seq 4249666264, ack 1748698113, win 8192, options [mss 1460,nop,nop,sackOK], length 0 20:59:51.177972 IP 192.168.50.99.2391 > 192.168.50.20.rdp: Flags [S], seq 1748698112, win 8192, options [mss 1460,nop,nop,sackOK], length 0 dos@vis:/home/dos/forward_port# ipfw sh ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string 00002 3 152 divert 8670 tcp from any to xxxxxxxxxx.158 3389 00005 6 304 divert 8671 tcp from any to 192.168.50.20 3389 00006 3 152 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99 00010 6 304 divert 8670 tcp from 192.168.50.20 3389 to any 00011 6 304 allow tcp from any to 192.168.50.20 3389 00012 3 152 allow tcp from 192.168.50.20 3389 to any

вот теперь порядок

Код: Выделить всё: dos@vis:/home/dos/forward_port# ipfw sh ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string 00002 3 152 divert 8670 tcp from any to xxxxxxxxx.158 3389 00005 6 304 divert 8671 tcp from any to 192.168.50.20 3389 00006 3 152 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99 00010 6 304 divert 8670 tcp from 192.168.50.20 3389 to any 00011 6 304 allow tcp from any to 192.168.50.20 3389 00012 3 152 allow tcp from 192.168.50.20 3389 to any 00014 877 80411 allow ip from any to any via em1 00015 24 1200 allow ip from any to any via lo0 00018 4 231 divert 8668 ip from any to any in via em0 00019 0 0 check-state :default 00020 0 0 skipto 800 tcp from any to xxxxxxxxxx 53 out via em0 setup keep-state :default 00021 2 179 skipto 800 udp from any to xxxxxxxxxx 53 out via em0 keep-state :default 00022 0 0 skipto 800 tcp from any to 8.8.8.8 53 out via em0 setup keep-state :default 00023 0 0 skipto 800 udp from any to 8.8.8.8 53 out via em0 keep-state :default 00040 0 0 skipto 800 tcp from any to any 80 out via em0 setup keep-state :default 00070 0 0 skipto 800 tcp from me to any out via em0 setup uid root keep-state :default 00080 0 0 skipto 800 icmp from any to any out via em0 keep-state :default 00330 0 0 deny ip from any to any frag in via em0 00332 0 0 deny tcp from any to any established in via em0 00415 0 0 allow tcp from tttttttt.0/24 to any 22 in via em0 setup limit src-addr 5 :default 00421 0 0 deny tcp from any to any 22 in via em0 00700 3 124 deny log logamount 5 ip from any to any in via em0 00750 3 152 deny log logamount 5 ip from any to any out via em0 00800 1 72 divert 8668 ip from any to any out via em0 01001 2 179 allow ip from any to any 65535 0 0 deny ip from any to any

Код: Выделить всё: root@vis:/home/dos # tcpdump -i em1 port 3389 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 262144 bytes 21:20:19.178478 IP 192.168.50.99.3342 > 192.168.50.20.rdp: Flags [S], seq 661892658, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 21:20:19.178863 IP 192.168.50.20.rdp > 192.168.50.99.3342: Flags [S.], seq 1519783129, ack 661892659, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 21:20:22.177836 IP 192.168.50.99.3342 > 192.168.50.20.rdp: Flags [S], seq 661892658, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 21:20:22.178269 IP 192.168.50.20.rdp > 192.168.50.99.3342: Flags [S.], seq 1519783129, ack 661892659, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 21:20:28.175857 IP 192.168.50.99.3342 > 192.168.50.20.rdp: Flags [S], seq 661892658, win 8192, options [mss 1460,nop,nop,sackOK], length 0 21:20:28.178532 IP 192.168.50.20.rdp > 192.168.50.99.3342: Flags [S.], seq 1519783129, ack 661892659, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Приехали

Код: Выделить всё: 6 packets captured 371 packets received by filter 0 packets dropped by kernel root@vis:/home/dos # tcpdump -i em0 port 3389 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes 21:20:58.503063 IP tttttttt.209.3346 > xxxxxxxxx.158.rdp: Flags [S], seq 3229552723, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 21:21:01.502081 IP tttttttt.209.3346 > xxxxxxxxx.158.rdp: Flags [S], seq 3229552723, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 21:21:07.502213 IP tttttttt.209.3346 > xxxxxxxxx.158.rdp: Flags [S], seq 3229552723, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Дописал обратку 00011 allow tcp from me 3389 to tttttttt.0/24

Код: Выделить всё: dos@vis:/home/dos/forward_port# ./946.sh natd: Unable to bind divert socket.: Address already in use 00002 divert 8670 tcp from tttttttt.0/24 to xxxxxxx.158 3389 00005 divert 8671 tcp from any to 192.168.50.20 3389 00006 divert 8671 tcp from 192.168.50.20 3389 to 192.168.50.99 00008 divert 8670 tcp from 192.168.50.20 3389 to any 00009 allow tcp from any to 192.168.50.20 3389 00010 allow tcp from 192.168.50.20 3389 to any 00011 allow tcp from me 3389 to tttttttt.0/24

и полилось Ваше сиятельство

Код: Выделить всё: root@vis:/home/dos # tcpdump -i em0 port 3389 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes 23:57:18.764197 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [S], seq 2853111757, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 23:57:18.764791 IP xxxxxxx.158.rdp > tttttttt.3338: Flags [S.], seq 1123014669, ack 2853111758, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 23:57:18.765904 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [.], ack 1, win 16425, length 0 23:57:18.767849 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [P.], seq 1:20, ack 1, win 16425, length 19 23:57:18.768430 IP xxxxxxx.158.rdp > tttttttt.3338: Flags [P.], seq 1:20, ack 20, win 256, length 19 23:57:18.799863 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [P.], seq 20:207, ack 20, win 16420, length 187 23:57:18.800558 IP xxxxxxx.158.rdp > tttttttt.3338: Flags [P.], seq 20:848, ack 207, win 255, length 828 23:57:18.803006 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [P.], seq 207:533, ack 848, win 16213, length 326 23:57:18.809828 IP xxxxxxx.158.rdp > tttttttt.3338: Flags [P.], seq 848:907, ack 533, win 254, length 59 23:57:18.880023 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [P.], seq 533:618, ack 907, win 16198, length 85 23:57:18.880882 IP xxxxxxx.158.rdp > tttttttt.3338: Flags [P.], seq 907:1136, ack 618, win 254, length 229 23:57:18.885084 IP tttttttt.3338 > xxxxxxx.158.rdp: Flags [P.], seq 618:1407, ack 1136, win 16141, length 789

Немного не по теме

Пробовал pptp, в моём случае не заработало.
Скорее всего из-за моего домашнего провайдера
счётчики GRE на сервере только в одну(мою) сторону показывают
,а от меня по нулям.

И еще аргумент против моего провайдера - на наших внешних адресах, все работает и ipfw show показывает цифры в обе стороны, специально для этого дела разные подсети взял.

В конечном итоге собрал l2tp.
Удобная вещь.

Читал тут тему
mpd5 и l2tp (сервер VPN)

Время бежит
......

ессно, т.к. GRE и NAT это = проблема.

Subnets.ru

natd RDP

natd RDP

Re: natd RDP

Re: natd RDP

Re: natd RDP

Re: natd RDP

Re: natd RDP

Re: natd RDP