Re: [freebsd] Есть ли особенности проброса порта в туннель?

Fri, 24 Jun 2022 03:16:59 -0700 

On Fri, 24 Jun 2022 14:30:01 +0700
Eugene Grosbein <eu...@grosbein.net> wrote:


> > На сервере Y с IP 192.168.12.111 в туннеле (13.1-RELEASE)
> > Вижу только входящий пакет и все.
> > # tcpdump -n -i ipsec0 -a 'port 8080 or port 80'
> > 06:07:03.106586 IP X.X.X.X.62673 > 192.168.12.111.80: Flags [S], seq 
> > 1358968744, win 65535, options [mss 16344,nop,wscale 6,sackOK,TS val 
> > 3568935363 ecr 0], length 0  
> 

> 
> Разница в том, что в первом случае адрес источника был X.X.X.X, а во втором 
> 192.168.12.1.
> Либо входящий пакет был убит файрволом на приёмной стороне, либо ответ не 
> находит роута в туннель
> и уходит в другой интерфейс или вообще никуда.

В ipfw разрешено для tcp все.

Таблица роутинга вот такая:

Destination        Gateway            Flags     Netif Expire
default            X.X.X.X            UGS         rl0
127.0.0.1          link#2             UH          lo0
192.168.0.0/24     link#1             U           rl0
192.168.0.111      link#1             UHS         lo0
192.168.12.1       link#5             UH       ipsec0
192.168.12.111     link#5             UHS         lo0


Получается ответы, на запроси от X.X.X.X, хоть и пришли через тунель, уходят на 
X.X.X.X, а не в тунель 192.168.12.1.

Но их почему-то не видно tcpdump -i rl0 'port 8080 or port 80'.

Пробовал добавить.
ipfw add 200 fwd 192.168.12.1 tcp from 192.168.12.111 80 to any
не помогло.



А почему на сервере Y в tcpdump видны запросы

12:50:08.219710 IP X.X.X.X.41173 > 192.168.12.111.http: Flags [S], seq 
3645315935, win 65535, options [mss 16344,nop,wscale 6,sackOK,TS val 1553419922 
ecr 0], length 0

Но в ipfw нет?
# ipfw show
00100    0      0 deny icmp from any to any in icmptypes 5
00101    0      0 count ip from any to any 80
00102    0      0 count ip from any to any 8080
00103    0      0 count ip from any to any 80 via rl0
00104    0      0 count ip from any to any 8080 via rl0
00105    0      0 count ip from any to any 80 via ipsec0
00106    0      0 count ip from any to any 8080 via ipsec0
65000 4547 905487 allow ip from any to any



И что означает ip в nat config ?
Описание "Define an ip address to use for aliasing." на понятно.

Пробовал использовать его, в надежде, что вместо пакета 
IP X.X.X.X.41173 > 192.168.12.111.http
прийдет 
IP 192.168.12.1.41173 > 192.168.12.111.http
и соответственно ответ уйдет в туннель на 192.168.12.1, но не сработало.


_______________________________________________
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Ответить