免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD 一个关于IPFilter端口重定向的问题。
最近访问板块 发新帖
查看: 3584 | 回复: 7
打印 上一主题 下一主题

一个关于IPFilter端口重定向的问题。 [复制链接]

FinSUN

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-08-31 22:18 |只看该作者 |倒序浏览
0.0.0.0(Client) <-> *.*.*.*<-FreeBSD->192.168.0.1  <->  192.168.0.254(gw)<-Router->172.16.16.254(gw) <-> 172.16.16.16(WEB)

一台FreeBSD网关,用IPFilter做NAT,两个网络地址分别为*.*.*.*(公网地址),192.168.0.1,现想将192.168.0.1所连接的另一子网的一台WEB服务器172.16.16.16的80端口重定向至*.*.*.*的8888端口,已经在FreeBSD上做了至172.16.16.16的静态路由,测试畅通,IPNAT规则如下:

  rdr dc0 *.*.*.*/32 port 8888 -> 172.16.16.16 port 80
  rdr dc0 *.*.*.*/32 port 80 -> 192.168.0.2 port 80

但在10.10.10.10所连接的网络上http://*.*.*.*:8888不能访问,http://192.168.0.2正常。已经确认de0上IPFilter的8888端口已经pass,内部没有做限制,IPNAT也已经正常工作。

我想问的是以上IPNAT规则到底对不对,是仕么原因导致无法访问172.16.16.16:80,在此求助各位!!!

[ 本帖最后由 FinSUN 于 2006-8-31 23:19 编辑 ]
Mythikal

论坛徽章:
0
2 [报告]
发表于 2006-08-31 22:22 |只看该作者
把ipnat -l结果贴上看看。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
FinSUN

论坛徽章:
0
3 [报告]
发表于 2006-08-31 23:15 |只看该作者
以下是ipnat -l的输出,真实地址用*.*.*.*代替:


# ipnat -l
List of active MAP/Redirect filters:
map dc0 192.168.0.0/24 -> *.*.*.*/32 proxy port ftp ftp/tcp
map dc0 192.168.0.0/24 -> *.*.*.*/32 portmap tcp/udp 10000:49999
map dc0 192.168.0.0/24 -> *.*.*.*/32
rdr dc0 *.*.*.*/32 port 80 -> 192.168.0.2 port 80 tcp
rdr dc0 *.*.*.*/32 port 8888 -> 172.16.16.16 port 80 tcp

List of active sessions:
RDR 172.16.16.16     80    <- -> *.*.*.* 8888 [213.179.21.226 2757]
MAP 192.168.0.239 4004  <- -> *.*.*.* 10009 [206.204.32.28 80]
MAP 192.168.0.239 4003  <- -> *.*.*.* 10008 [213.35.100.11 80]
MAP 192.168.0.239 4002  <- -> *.*.*.* 10007 [206.204.32.28 80]
MAP 192.168.0.239 4001  <- -> *.*.*.* 10006 [213.35.100.11 80]
MAP 192.168.0.239 4000  <- -> *.*.*.* 10005 [206.204.32.28 80]
MAP 192.168.0.239 3999  <- -> *.*.*.* 10004 [213.35.100.11 80]
MAP 192.168.0.239 3998  <- -> *.*.*.* 10003 [206.204.32.28 80]
MAP 192.168.0.239 3997  <- -> *.*.*.* 10002 [213.35.100.11 80]
MAP 192.168.0.239 3996  <- -> *.*.*.* 10001 [69.18.148.62 80]
RDR 172.16.16.16     80    <- -> *.*.*.* 8888 [213.179.21.226 2756]
MAP 192.168.0.239 3993  <- -> *.*.*.* 10000 [64.233.189.104 80]
RDR 192.168.0.2 80 <- -> *.*.*.* 80 [213.179.21.226 2750]
#
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
FinSUN

论坛徽章:
0
4 [报告]
发表于 2006-08-31 23:20 |只看该作者
顶住,求解!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Mythikal

论坛徽章:
0
5 [报告]
发表于 2006-08-31 23:30 |只看该作者
RDR 172.16.16.16     80    <- -> *.*.*.* 8888 [213.179.21.226 2757]

状态表不是已经有了吗?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
FinSUN

论坛徽章:
0
6 [报告]
发表于 2006-09-01 01:12 |只看该作者
确实在状态表中已经存在,但客户端IE提示“无法显示网页”,在FreeBSD中tcpdump也只发现前向数据包,如:

00:41:21.912504 IP 213.179.21.226 .3179 > *.*.*.*.8888: S 835463731:835463731(0) win 65535 <mss 1460,nop,nop,sackOK>

无任何其他相关后向信息。

我发现手册、范例中的rdr都是针对同一子网下的相同端口做重定向映射,如将192.168.0.2:80 rdr至外部80端口,题中的172.16.16.16和192.168.0.1虽然同为LAN,可以互通,但并非同一子网,将其80端口rdr至外部8888端口又不是相同的port?不知道IPFilter对我问题中的“不同子网间的不同端口”能否做rdr,如果可以,具体应该如何实现,请不吝赐教!!!如果ipnat规则没有问题,是不是还有其他原因呢?

[ 本帖最后由 FinSUN 于 2006-9-1 01:15 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Mythikal

论坛徽章:
0
7 [报告]
发表于 2006-09-01 01:22 |只看该作者
去192.168.0.1  netstat -na 看看。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
FinSUN

论坛徽章:
0
8 [报告]
发表于 2006-09-01 01:53 |只看该作者
在客户端IE正在连接过程中,ipnat -l 输出正常,状态表中已经存在rdr记录,Active Internet connections如下:

# netstat -na
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0     52  *.*.*.*.22  213.179.21.226.3506   ESTABLISHED
tcp4       0      0  127.0.0.1.25           *.*                    LISTEN
tcp4       0      0  *.22                   *.*                    LISTEN
tcp4       0      0  127.0.0.1.953          *.*                    LISTEN
tcp4       0      0  127.0.0.1.53           *.*                    LISTEN
tcp4       0      0  192.168.0.1.53         *.*                    LISTEN
tcp4       0      0  *.*.*.*.53             *.*                    LISTEN
udp4       0      0  *.67                   *.*
udp4       0      0  *.50558                *.*
udp4       0      0  127.0.0.1.53           *.*
udp4       0      0  192.168.0.1.53         *.*
udp4       0      0  *.*.*.*.53             *.*
udp4       0      0  *.514                  *.*
icm4       0      0  *.*                    *.*
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
c1249118 stream      0      0        0 c12491a4        0        0
c12491a4 stream      0      0        0 c1249118        0        0
c124a000 stream      0      0 c11eb990        0        0        0 /var/run/devd.pipe
c12497a8 dgram       0      0        0 c1249dac        0 c12499d8
c124994c dgram       0      0        0 c1249d20        0        0
c12499d8 dgram       0      0        0 c1249dac        0 c1249af0
c1249af0 dgram       0      0        0 c1249dac        0 c1249c08
c1249c08 dgram       0      0        0 c1249dac        0        0
c1249c94 dgram       0      0 c125f110        0        0        0 /var/named/var/run/log
c1249d20 dgram       0      0 c125f220        0 c124994c        0 /var/run/log
c1249dac dgram       0      0 c125f330        0 c12497a8        0 /var/run/logpriv
c1249e38 dgram       0      0 c125f440        0        0        0 /var/run/log
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP