IPFW2 und Portforwarding

C

cosmo

Well-Known Member
Hallo,

hab auf meinem DSL-Router (FreeBSD 5.4) IPFW am Laufen, was auch wunderbar funktioniert.
Jetzt will ich alle SSH-Verbindungen aus dem Internet auf einen Rechner in meinem internen Netz umleiten.

Wenn ich das Portforwarding ueber ein "-redirect_port" im NATD einrichte, geht das auch.
In dem IPFW-Tut von asg (http://www.bsdforen.de/showthread.php?t=148) steht drin, dass man bei IPFW2 (was laut der IPFW-Manpage seit FreeBSD 5.X Standard ist) nur ein "ipfw add 1234 fwd ..." eingeben muss. Und das geht bei mir nicht, da komm ich nur auf dem Router raus. Ein "allow" fuer eingehende SSH-Verbindungen gibt es nicht.

Was muss ich noch aendern, damit das ueber das "fwd" funktioniert?


Gruss,
Cosmo
 
Hi
eine vielleicht blöde Frage.

Hast du
options IPFIREWALL_FORWARD b.z.w.
options IPFIREWALL_FORWARD_EXTENDED

in deine kernel einkompilliert?

greetz delmo
 
Weiss ich nicht aber was ich wollte hatte erstfunktioniert,
als ich extendet angemacht habe.
Ich wollte allerdings auch einen redirect auf die selbe
Kiste machen und dafür ist es zwingend erforderlich.

greetz delmo
 
brauchst das gar nicht im kernel, kannst es auch mit:
Code: 
kldload ipfw
laden
Code: 
options IPFIREWALL_FORWARD
brauchst du auch nicht unbedingt im kernel, mit sysctl gehts auch:
Code: 
sysctl net.inet.ip.forwarding=1
zu dem extended:
Code: 
The ipfw(8) ipfw fwd rule now supports the full packet destination
manipulation when the kernel option options IPFIREWALL_FORWARD_EXTENDED is
specified in addition to options IPFIREWALL_FORWARD. This kernel option disables
all restrictions to ensure proper behavior for locally generated packets and allows
redirection of packets destined to locally configured IP addresses.
also ich würd sagen das du das extended mal reinmachen solltest wenns ssh an eine lokale adresse gehn soll
IPFIREWALL_FORWARD_EXTENDED funktioniert nur ab 5.4, leider finde ich das nicht in syctl
 
Zuletzt bearbeitet:
Bin leider net eher zum Basteln gekommen ...

An eine lokale Adresse solls zwar net gehen, ich hab aber trotzdem mal einen neuen Kernel gebaut. Hat aber nichts gebracht.

Naja, werd ich halt weiterhin NAT benutzen.

Danke fuer die Antworten,
Cosmo
 
in /etc/natd.conf schreibst du folgendes:
Code: 
redirect_port tcp 192.168.0.11:port port
d.h. 192.168.0.11 ist der rechner der in den netz/lan ist.
port ist klar ....

danach:
Code: 
ps cx | grep natd
Code: 
kill -9 pid
Code: 
/etc/netstart

...und es sollte funktionieren (bei mir habe ich es so gemacht). Vergiss nicht natd zu kill-en!


:( Deutsche Sprache , schwere Sprache
 
Ehm, wie in meinem ersten Post bereits erwaehnt, funktioniert es mit einem "-redirect-port" im NATD.
Ich will das aber ueber eine "fwd"-Regel im IPFW machen.

Trotzdem danke.
 
Moin
also ich hab es jetzt auch nochmal ausprobiert.
Tatsächlich hat es geklappt aber sehr sehr holprig.
fwd scheint wirklich noch nicht so richtig zu laufen.
Er hat zwar ein paar mal umgeleitet, aber von reibungslosen
ablauf, kann nicht die Rede sein.
Komisch hätte ich nicht gedacht.
Naja du wirst wohl erstmal beim natd bleiben müssen.

greetz delmo
 
Der fwd von ip firewall funktioniert natuerlich (ohne bugs), es werden aber keine zieladressen umgeschrieben (also kein NAT, siehe man page). Der zielrechner muss also auch auf die externe IP deines routers horchen sonst will nimmt der das packet nicht an. Pack einfach eine alias IP dazu dann sollte es klappen...

Martin
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben