Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitry Liakh                         2:5020/400     28 Jan 2002  14:34:16
 To : Stas Degteff
 Subject : Re: траблы с NAT
 -------------------------------------------------------------------------------- 
 
 Stas Degteff <Stas.Degteff@p1.f102.n5080.z2.fidonet.org> wrote:
 
 > 
 >   Привет, Dmitry!
 > 
 >    Ответ на сообщение Dmitry Liakh (2:5020/400) к All, написанное 24 Jan 02 в
 > 17:56:
 > 
 > DL> удаленный клиент коннектится снаружи на порт 8080 фри, natd успешно
 > DL> пробрасывает его запрос на 80 порт NT, на NT запускается скрипт,
 > DL> успешно отрабатывает и в access.log появляется подтверждающая этот факт
 > DL> запись (http 200 и т.д.)
 > 
 > DL> после этого на фре в /var/log/messages начинают лезть сообщения о том,
 > DL> что NT со своего 80-го порта пытался коннектнуться к произвольному
 > DL> (очевидно, к тому, с которого обращался клиент) закрытому порту на
 > DL> *внешнем* (ppp) интерфейсе фри. Через некоторое время у клиента вылазит
 > DL> сообщение о таймауте.
 > 
 > DL> Если я правильно понял, выходит что natd пробрасывает запрос на NT, и
 > DL> после этого считает сокет закрытым.
 > 
 > DL> Что мудрый All посоветует в этой ситуёвине делать?
 > 
 > Тут явно дело не в natd, а в пpавилах файpвола.
 
 вот меня и смущает, что в правилах файрвола ничего такого нет,
 собственно, вот они:
 
 divert 8668 ip from any to any via ppp0
 allow ip from any to any via lo0
 deny ip from any to 127.0.0.0/8
 deny ip from 127.0.0.0/8 to any
 allow ip from any to any
 deny ip from any to any
 
 такие правила получаются автоматом при включении следующего в rc.conf:
 
 firewall_enable=YES
 firewall_type=open
 natd_enable=YES
 natd_interface=ppp0
 natd_flags="-same_ports -use_sockets -redirect_port tcp 192.168.3.2:80 8080"
 # 192.168.3.2 - это, как раз, NT'вая машина с серым адресом
 
 еще раз повторю, что САМОЕ СТРАHHОЕ то, что если запрашивать с "серого" сервера
 ОБЫКHОВЕHHУЮ HTML-СТРАHИЦУ - то все проходит HОРМАЛЬHО, если же скрипт -
 то начинается вышеназванная ерунда (natd удаляет соединение из таблиц раньше,
 чем отработает скрипт, хотя работает он совсем недолго, визуально - так вроде
 меньше секунды при вызове его c машины, находящейся в этой же локалке)
 
 > tcpdump тебе поможет.
 > 
 > Самое пpостое - добавь пpавило
 > divert natd tcp from nt.server 80 to any
 > 
 > Stas Degteff
 > 
 
 -- 
 WBR
 Dmitry
 --- ifmail v.2.15dev5
  * Origin: Hansa (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 траблы с NAT   Dmitry Liakh   24 Jan 2002 18:56:58 
 Re: траблы с NAT   Valentin Davydov   25 Jan 2002 15:25:27 
 Re: траблы с NAT   Dmitry Liakh   28 Jan 2002 14:05:27 
 траблы с NAT   Stas Degteff   25 Jan 2002 20:11:35 
 Re: траблы с NAT   Dmitry Liakh   28 Jan 2002 14:34:16 
 траблы с NAT   Stas Degteff   28 Jan 2002 17:43:59 
 Re: траблы с NAT   Dmitry Liakh   29 Jan 2002 18:36:07 
 траблы с NAT   Stas Degteff   30 Jan 2002 11:09:24 
Архивное /ru.unix.bsd/17301bf70cb8e.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional