免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD 内网重定向问题解答(更新)
最近访问板块 发新帖
查看: 3917 | 回复: 0
打印 上一主题 下一主题

内网重定向问题解答(更新) [复制链接]

tutux

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2003-05-23 14:25 |只看该作者 |倒序浏览
  1.                 ipfilter 重定向时
  2. 服务器在内网时,内网客户机用域名访问服务器带来的问题以及解决方法

  4. Aborigen Yin 阿土
  5. 2003.05.23
  6. v3.0


  9. 网络拓扑:
  10. (所有地址均为假设)

  12.                |  
  13.                | wan 互联网接口
  14.                |
  15.              router  上级路由器 (172.16.100.254/24)由ISP管理
  16.                |
  17.                |      (网卡0/fxp0)172.16.100.80/24 网关 172.16.100.254
  18.             gateway   我们自己的ipfilter网关   gateway_enable="YES"
  19.                |      (网卡1/fxp1)192.168.200.254/24
  20.                |
  21.             switch    内部中心交换机
  22.               /|\
  23.              / | \
  24.             /  |  \
  25.            /   |   \----- web server / ftp server 192.168.200.250/24 网关 192.168.200.254
  26.           /    |
  27.          /     |
  28.     client1  client2 192.168.200.100/24 网关 192.168.200.254

  30. 设置dns服务器 www.oss.cn ->; 172.16.100.80 ftp.oss.cn ->; 172.16.100.80

  32. 要求无论内外网,都能访问 http://www.oss.cn ftp://ftp.oss.cn (主动/被动 模式)。

  34. #nat规则
  35. #针对fxp0(网卡0的规则。
  36. #以下两条规则是为外部网络访问内网的服务器。
  37. #for webserver
  38. rdr fxp0 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  39. #for ftp server
  40. rdr fxp0 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp

  42. #以下6条map规则是为让内网机器访问外部网络而提供地址/端口转换服务的。
  43. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port ftp ftp/tcp
  44. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port isakmp ipsec/udp
  45. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port 7070 raudio/tcp
  46. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port 1720 h323/tcp
  47. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 portmap tcp/udp 40000:60000
  48. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32
  49. #针对fxp0(网卡0)的规则结束。

  51. #针对fxp1(网卡1)的规则。
  52. #由于server跟内网客户机在同一个子网,不能用类似:
  53. #rdr fxp1 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  54. #rdr fxp0 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp
  55. #这样的规则.
  56. #当客户机访问http://www.osscn时,
  57. #重定向规则生效,192.168.200.100:1025 ->; 172.16.100.80:80 -rdr->;>; 192.168.200.100:1025 ->; 192.168.200.250:80
  58. #webserver收到192.168.200.100:1025 ->; 192.168.200.250:80 的请求,这里,192.168.200.100与192.168.200.250属于同一网段,所以
  59. #自然产生192.168.200.250:80 ->; 192.168.200.100:1025的回应。
  60. #返回的数据是直接经交换机回到客户机.
  61. #没有经过网关的fxp1,从192.168.200.100来看,192.168.200.250:80 ->; 192.168.200.100:1025的回应是非法的;
  62. #所以直接返回的数据被客户机drop掉;
  63. #同时客户机在等待请求从172.16.100.80:80的返回;
  64. #由于webserver返回的数据是直接回到客户机,没有经过网关的fxp1,所以
  65. #网关不会有数据返回给客户机;
  66. #做以下NAT规则:
  67. #假设ipfilter网关上开放22tcp端口用于远程管理;
  68. #这个重定向是为了防止网关本身的22端口被下面的map规则覆盖(map循环);如果你的网关上有别的服务需要从内网访问,依次类推。
  69. #是因为在ipfilter的处理流程中rdr规则比map规则优先,rdr的返回数据通过查找状态表而直接返回,不经过map规则。
  70. rdr fxp1 192.168.200.254 port 22 ->; 127.0.0.1 port 22 tcp
  71. #以下两个rdr作用同上,只是这是为了内网访问做的。
  72. #for webserver
  73. rdr fxp1 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  74. #for ftp server
  75. rdr fxp1 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp

  77. #以下map规则是为让内网机器访问内网服务器而设置的,对发往server的ip进行map。
  78. #有ftp 服务器,所以需要ftp map proxy.
  79. map fxp1 192.168.200.0/24 ->; 192.168.200.254/32 proxy port ftp ftp/tcp
  80. map fxp1 192.168.200.0/24 ->; 192.168.200.254/32 portmap tcp/udp 40000:60000
  81. #map fxp1 192.168.200.0/24 ->; 192.168.200.254/32
  82. #以下map规则是对从server的主动返回的ip进行map,比如ftp主动模式下的data数据发送。
  83. #此时不需要ftp map proxy.
  84. map fxp1 192.168.200.250/32 ->; 172.16.100.80/32  portmap tcp/udp 40000:60000
  85. #map fxp1 192.168.200.250/32 ->; 172.16.100.80/32

  87. #######

  89. #通过这些设置,内网客户机访问的ip流程变为:
  90. #请求:
  91. 192.168.200.100:1026 ->; 172.16.100.80:80
  92.            rdr | (网关内部)
  93. 192.168.200.100:1026 ->; 192.168.200.250:80
  94.            map | (网关内部)
  95. 192.168.200.254:4321 ->; 192.168.200.250:80
  96. #返回
  97. 192.168.200.250:80 ->; 192.168.200.254:4321
  98.            map 状态表 | (网关内部)
  99. 192.168.200.250:80 ->; 192.168.200.100:1026
  100.            rdr 状态表 | (网关内部)
  101. 172.16.100.80:80 ->; 192.168.200.100:1026
  102. #请求完成

  104. #ftp 访问比web访问复杂些:
  105. #请求:(假设PORT/主动模式)
  106. 192.168.200.100:1028 ->; 172.16.100.80:21
  107.   rdr proxy ftp/tcp | (网关内部)
  108. 192.168.200.100:1028 ->; 192.168.200.250:21
  109.   map proxy ftp/tcp | (网关内部)
  110. 192.168.200.254:4322 ->; 192.168.200.250:21
  111. #这是控制通道,跟web一样的过程;
  112. #返回
  113. 192.168.200.250:21 ->; 192.168.200.254:4322
  114.   map proxy ftp/tcp | (网关内部) 状态表
  115. 192.168.200.250:21 ->; 192.168.200.100:1028
  116.   rdr proxy ftp/tcp | (网关内部) 状态表
  117. 172.16.100.80:21 ->; 192.168.200.100:1028
  118. #这是控制通道,跟web一样的过程;
  119. #请求完成
  120. #登陆完成后执行ls -l指令,此时需要data通道进行文件列表的传输。
  121. 客户端创建一个监听等待接受数据;
  122. 192.168.200.100:4567 LISTEN
  123. 通过21传递(port) 192.168.200.100:4567 ->;172.16.100.80
  124.     rdr proxy ftp/tcp | (网关内部)
  125. 通过21传递(port) 192.168.200.100:4567 ->;192.168.200.250
  126.     map proxy ftp/tcp | (网关内部)
  127. 通过21传递(port) 192.168.200.254:66666 ->;192.168.200.250
  128. (同时创建)rdr 192.168.200.254:66666 ->; 192.168.200.100:4567
  129. #数据返回:
  130. 192.168.200.250:20 ->; 192.168.200.254:66666 (注意,这是ftp server主动发起的连接)
  131.     map proxy ftp/tcp | (网关内部)产生的rdr
  132. 192.168.200.250:20 ->; 192.168.200.100:4567(注意,这是ftp server主动发起的连接)
  133. map规则处理(map fxp1 192.168.200.250/32 ->; 172.16.100.80/32  portmap tcp/udp 40000:60000) |
  134. 172.16.100.80:20 ->; 192.168.200.100:4567
  135. #请求完成,ls -l 指令完成;

  137. #请求:(假设PASV/被动模式)
  138. 192.168.200.100:1028 ->; 172.16.100.80:21
  139.   rdr proxy ftp/tcp | (网关内部)
  140. 192.168.200.100:1028 ->; 192.168.200.250:21
  141.   map proxy ftp/tcp | (网关内部)
  142. 192.168.200.254:4322 ->; 192.168.200.250:21
  143. #这是控制通道,跟web一样的过程;
  144. #返回
  145. 192.168.200.250:21 ->; 192.168.200.254:4322
  146.   map proxy ftp/tcp | (网关内部) 状态表
  147. 192.168.200.250:21 ->; 192.168.200.100:1028
  148.   rdr proxy ftp/tcp | (网关内部) 状态表
  149. 172.16.100.80:21 ->; 192.168.200.100:1028
  150. #这是控制通道,跟web一样的过程;
  151. #ftp client设置为使用被动模式。
  152. #请求完成
  153. ftp client发出PASV 指令,请求服务器使用被动模式(通过21通道进行)
  154. ftp server 创建监听,等待连接
  155. 192.168.200.250:9999 LISTEN
  156. 通过21传递(port) 192.168.200.250:9999 ->;192.168.200.254
  157.     map | (网关内部) 状态表
  158. 通过21传递(port) 192.168.200.250:9999 ->;192.168.200.100
  159.     rdr proxy ftp/tcp | (网关内部)
  160. 通过21传递(port) 172.16.100.80:9999 ->;192.168.200.100
  161. (同时创建)rdr 172.16.100.80:66666 ->; 192.168.200.250:9999
  162. #数据返回:收到pasv指令的回应后
  163. #ftp client发出ls -l指令然后ftp client 主动连接pasv指令中返回的地址和端口(172.16.100.80:9999):
  164. #请求连接
  165. 192.168.200.100:7896 ->; 172.16.100.80:9999 (注意,这是ftp client主动发起的连接)
  166.     rdr proxy ftp/tcp | (网关内部) (临时rdr)
  167. 192.168.200.100:7896 ->; 192.168.200.250:9999
  168.   map proxy ftp/tcp | (网关内部)
  169. 192.168.200.254:7896 ->; 192.168.200.250:9999
  170. #数据返回;
  171. 192.168.200.250:9999 ->; 192.168.200.254:7896
  172.   map proxy ftp/tcp | (网关内部) 状态表
  173. 192.168.200.250:9999 ->; 192.168.200.100:7896  
  174.   rdr proxy ftp/tcp | (网关内部) 状态表
  175. 172.16.100.80:9999 ->; 192.168.200.100:7896  
  176. #返回完成,ls -l 指令完成;

  178. #从ftp的过程看,相对与使用单一连接的web请求来说,ftp复杂一些。
  179. #其他类似ftp的协议重定向如果没有相应的proxy rdr/map就不行了。

  181. 罗嗦一句,有没有人愿意在pf/netfilter上试试?  
复制代码
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP