[BSD] OpenBSD PF rdr - megoldva
Vas József
vj3 at freemail.hu
2010. Már. 23., K, 09:54:25 CET
Hello!
Köszönöm, ez a megoldás. :)
Restellem, de elfeledkeztem erről a sysctl beállításról. (Illetve nem gondoltam rá, hogy nat-hoz, rdr-hez is kell)
Külön köszönetem Pápai Ádámnak, aki a nyerő megoldást írta. :)
Jelenleg még ez a teljes pf.conf:
pass # to establish keep-state
rdr pass on bge0 proto TCP from any to xxx.xxx.xxx.xxx port 88 -> 10.0.1.1 port 22
block in on ! lo0 proto tcp to port 6000:6010
Tehát változatlan pf.conf-al:
# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding=0
# sysctl net.inet.ip.forwarding=1
net.inet.ip.forwarding: 0 -> 1
Ezek után csodák csodájára megy a bejelentkezés.
# pfctl -ss |grep tcp
all tcp xxx.xxx.xxx.xxx:22 <- kkk.kkk.kkk.kkk:48626 ESTABLISHED:ESTABLISHED - ez az OpenBSD saját ssh-ja
all tcp 10.0.1.1:22 (xxx.xxx.xxx.xxx:88) <- kkk.kkk.kkk.kkk:53019 ESTABLISHED:ESTABLISHED
all tcp kkk.kkk.kkk.kkk:53019 -> 10.0.1.1:22 ESTABLISHED:ESTABLISHED
A gép egyetlen, mögötte lévő alkalmazás szervert (tomcat, mysql, solarison) véd.
Az alkalmazást pound reverse proxy teszi elérhetővé, ez a redirect (nat) csak a szerver szervíz célú elérését biztosítja ssh-val.
Természetesen a nyitott tűzfal nem marad így, most fogom bezárni, csak előtte az ssh-t akartam működni látni.
Mégegyszer köszönöm mindenkinek a segítséget, aki hozzászólt!
Üdv.:
V.J.
>>> Balázs Mátéffy<repcsike at gmail.com> 03/22/10 8:08 du. >>>
Hi,
Nem árthat :).
De a legcélravezetőbb szerintem, ha megismerjük a full configot az se
árthat, ha tudjuk, hogy néz ki a háló. Akkor talán gyorsabban kiderül mi a
baj.
Ha pedig úgyis nyitott rendszerrel próbálkozol, érdemes lehet valami
minimalisztikus fw-t lemásolni, és abból elindulva játszani.
Esetleg Peter N.M. Hansteen tutorialjaban nézelődhetsz, de van kismillió.
http://www.bsdly.net/~peter/pf.html
Üdv,
MB.
2010/3/22 Adam PAPAI <wooh at wooh.hu>
> On 3/22/10 7:35 PM, Vas József wrote:
> > Hello!
> >
>
> Persze a NAT-hoz kell a net.inet.ip.forwarding=1 a sysctlbe.
>
> Csak hogy tisztan lassunk. :)
>
> --
> Adam PAPAI
> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> https://lists.hu.freebsd.org/mailman/listinfo/bsd
>
További információk a(z) BSD levelezőlistáról