firewall soll forwarden mit nat

dissent

Well-Known Member
Hallo Leute

Ich brauch mal kurz hilfe wie ich folgendes problem löse:

soll:

ssh server (192.168.10.150 aussen, 192.168.0.1 drinnen)<---> firewall(192.168.0.2 richtung server, 192.168.1.1 richtung client) (soll nur ssh weitergeben) <----> client(192.168.1.10)

solange das noch nicht funktioniert ist beim ssh server in der firewall alles erlaubt.
der ssh server ist nen freebsd 4.10 mit ipfw, nat brauch ich erstmal nicht.

die firewall ist ebenfalls nen freebsd 4.10 mit ipfw und nat

und der ssh client soll von einem windoof geöffnet werden.

ich möchte mich mit ssh über die firewall auf den ssh server verbinden.

ganz simples port forwarding eingentlich.

server und firewall haben jeweils 2 lan karten.
ping zwischen server und firewall gehen, client und firewall auch.

Firewall der Firewall:
Code:
ipfw="/sbin/ipfw"
$ipfw -q flush
$ipfw -q zero
$ipfw -q add dievert natd all from any to any via lnc1 #device zum client
$ipfw -q add allow all from any to any

auszug der rc.conf:
Code:
firewall_enable="YES"
firewall_script="/etc/firewall"
natd_enable="YES"
natd_interface="lnc1"
natd_flags="-redirect_port tcp 192.168.0.1:22 22"
gateway_enable="YES"


wenn ich mit tcpdump gucke steht da nur müll...
192.168.1.10 > 192.168.1.1
192.168.1.10 > 192.168.0.1
mit dem anderen zeug drum rum...

das müsste doch so gehen oder irre ich mich da?

problem ist jedenfalls das ich die sshverbindung nicht geöffnet bekomme... da kommt dann nen timeout

ciao
Paul
 
Last edited:
Von ipfw habe ich zwar keine Ahnung, aber mal rein von der Netztechnik stellen sich mir zwei Fragen:
- ist auf der Firewall "routing" aktiviert ?
- ist die Firewall als Gateway für das Netz des Clients auf dem Server eingetragen?
 
$ipfw -q add dievert natd all from any to any via lnc1 #device zum client
muss aber
Code:
$ipfw -q add [b]divert[/b] natd ....
heißen.

Gruß,

Ice
 
dievert->divert
Da hab ich mich beim abschreiben vertippt ; ) sorry


warum muss dur dem server die firewall als gateway für den client angegeben sein?
achso weil der sonst nicht weiß das es dahin wieder zurück gehen soll!
routing war bei der firewall auch nicht aktiviert habe jetzt folgende änderungen bei der firewall vorgenommen:
Code:
router_enable="YES"

bei dem server:
Code:
static_routes="client"
route_client="-net 192.168.0.0 -netmask 255.255.255.0 192.168.0.2"

Wie kann ich denn nach vollziehen ob der das gefressen hat?
ich kann mich erinnern das es sowas wie show route, route list oder so gab aber in der man steht nix drinne....

jedenfalls bekomm ich dann beim starten:
Code:
route: wrinting to routing socket: File exists
add net 192.168.0.0: gateway 192.168.0.2: File exists
und es funktioniert immer noch nicht
 
danke : )

Also die route bekommt der server irgendwie selber mit...
ich weiß aber nicht ob das so aussieht wie ich es will... es steht jedenfalls bei netstat -r
Code:
Destination Gateway Flags Refs Use Netif Expire
default        192.168.10.1 UGSc 1 0 lnc0
localhost...
192.168.0   link#2            UC     0 0 lnc1
192.168.10 link#1            UC     1 0 lnc0
192.168.10.1...
da steht zwar das 192.168.0 nach lnc1 rausgehen sollen...
ach keine ahnung... hätte nicht gedacht das das probleme macht...
 
Back
Top