Avatar billede darkside Nybegynder
22. september 2003 - 16:25 Der er 20 kommentarer og
1 løsning

Natd og LAN

Heysa, jeg har en freebsd box til at stå og dele mit inet, og det hele virker sådan set fint ;)

Men hvis jeg eks vil forwarde en port (eks port 80) så kan jeg ikke se siden ved at bruge min externe IP, kun via min interne ip til den maskine som port 80 er blevet forwardet til..

Eks http://80.62.x.x <-- Virker ikke på LAN
http://192.168.0.x virker fint.

Kan man fuske noget så det kan lade sig gøre at bruge den eksterne IP på LAN ?

/DS
Avatar billede morpheus Nybegynder
22. september 2003 - 16:52 #1
Jeg fiksede det ved at sætte en DNS server op på gatewat'en, der så kun svarer for interne requests.

Dette virker udmærket for mig
Avatar billede darkside Nybegynder
22. september 2003 - 16:55 #2
morpheus, Lyder fornuftigt, men er ikke helt sikker på det løser mit problem

Hvis nu vi siger det drejer sig om port 8080 på LAN siden og port 8032 på WAN

Så vill ejeg jo helst bare kunne bruge min externe ip altså http://80.62.x.x:8032 istedet for min LAN ip
Avatar billede morpheus Nybegynder
22. september 2003 - 16:57 #3
Det tror jeg desværre ikke kan lade sig gøre... :(
Avatar billede darkside Nybegynder
22. september 2003 - 16:58 #4
Nej det er jeg oxo bange for det ikke kan!
Avatar billede a_eriksen Nybegynder
22. september 2003 - 17:30 #5
Det skulle helst virke. Hvordan ser dit setup ud?
Har du bare enabled natd i rc.conf eller har du et ipfw script vi må se?
Avatar billede darkside Nybegynder
22. september 2003 - 17:41 #6
Kører bare med natd via rc.conf indtil videre..

Dvs jeg har forwardet porten med -redirect_port tcp 192.168.0.2:8080 8080
Avatar billede a_eriksen Nybegynder
22. september 2003 - 17:51 #7
Jeg tror problemet er at divert linien i firewall'en kun fanger pakkerne når de kommer fra det eksterne interface. Det kan du komme udenom ved at lave dine egne divert liner som fanger pakkerne baseret på adressen og ændre natd til at være adressebaseret istedet for interface baseret.
Avatar billede darkside Nybegynder
22. september 2003 - 17:59 #8
Kan du give et eks?
Jeg er ikke så meget inde i natd og ipfw
Avatar billede a_eriksen Nybegynder
22. september 2003 - 18:12 #9
ehh... Det bliver ret løst..

natd -a 80.62.x.x -redirect_port tcp 192.168.0.2:8080 8080

ipfw add 500 allow all from 192.168.0.0/24 to 192.168.0.0/24
ipfw add 510 divert natd all from 192.168.0.0/24 to any
ipfw add 520 divert natd all from any to 80.62.x.x
ipfw add 530 allow all from any to any
Avatar billede skwat Praktikant
27. september 2003 - 17:20 #10
hvad har du foran din FreeBSD box?
Avatar billede temanden Nybegynder
01. oktober 2003 - 10:18 #11
Hvis du kører PPPoE, hvilket mange ADSL linier gør, skal du ind i /etc/ppp/ppp.conf og tilføje noget i still med "nat port tcp 192.168.0.x:80 80". Også selvfølgelig genstarte ppp.
Avatar billede darkside Nybegynder
06. oktober 2003 - 14:43 #12
temanden, Kører ikke PPPoE.

skwat, Har kun et modem foran min BSD spand.
Avatar billede skwat Praktikant
09. oktober 2003 - 15:24 #13
Ok, men du har altså et problem, fordi natd binder på et interface, og det er den samme logiske enhed der styre begge trafikken.
Dvs, enten skal du køre to natd'er eller også skal du lave et dns stunt
Avatar billede a_eriksen Nybegynder
11. oktober 2003 - 16:45 #14
skwat:
Er du sikker på at du ved hvad du snakker om? Problemet ligger i at trafikken aldrig kommer ind omkring natd, hvis divert-reglen kun fanger pakker som kommer via interfacet.
Avatar billede skwat Praktikant
13. oktober 2003 - 12:12 #15
a eriksen, hvis du ikke læser mit svar som det samme, har jeg formuleret mig forkert.
Og ja, jeg er helt sikker på hvad jeg snakker om :)
Avatar billede a_eriksen Nybegynder
13. oktober 2003 - 17:52 #16
Ok, men du behøver ikke to natd. Jeg er ret sikker på at de regler jeg skrev vil virke, jeg gider bare ikke lave et setup for at teste det.
Avatar billede z_master Nybegynder
19. oktober 2003 - 23:56 #17
Det er ikke IPFW der skal stå for "divert". Det er natd programmet.
Hvis det var IPFW som skulle stå for det, så var det måske mere "fwd" der skulle bruges.
Du skal oprette en fil, som skal bruges som config fil til natd.
Denne kalder du f.eks. /etc/natd.conf
Heri skriver du
redirect_port tcp internwebip:internwebport eksternport
samt alt andet du kalder natd med. (Hvis du vælger at bruge commandline, så kan det ske at det ikke virkede. Det skete for mig. Derfor vil jeg foreslå du opretter en fil)

Når du skal starte natd skal du bruge "-f /etc/natd.conf" for at fortælle du vil bruge den configfil.

Det burde åbne et hul ind til din webserver. Derudover, hvis din default ikke er accept alt, så skal du også sige til din firewall at alt på port 80 gerne må komme igennem.

Læs på "man natd". Man siderne er ret gode.

Dertil, såvidt jeg husker kan det ske du ikke kan se den service du vil ind på fra din egen ip. Så du skal nok spørge en af dine venner om de kan komme ind.
Avatar billede skwat Praktikant
20. oktober 2003 - 00:10 #18
Er jeg den eneste der er i tvivl om z_master har forstået spørgsmålet?
Avatar billede morpheus Nybegynder
20. oktober 2003 - 00:49 #19
Tydeligvis.
Avatar billede z_master Nybegynder
20. oktober 2003 - 08:50 #20
Uhh ja.. Troede vi snakkede om en almindelige redirect udefra til en ip internt. Men han vil gerne se sin egen maskine med den eksterne ip indefra?
Så vil jeg foreslå noget helt hen i vejret, som ikke er blevet foreslået endnu, som han måske kan teste med.

Hvis det er tilfældet vil jeg foreslå "fwd".
ipfw add fwd 192.168.0.x,8080 tcp from 192.168.0.0/24 to 80.62.x.x 8032

Og denne regl burde stå foran divert, da vi ikke vil have at pakken går ud af dit natd interface, men stadig er internt på LAN'et.

Hvis det ikke virker vil jeg give de andre ret med 2 natd. Kan måske virke, men er ikke noget som jeg har testet med.
Avatar billede skwat Praktikant
20. oktober 2003 - 09:43 #21
Jeg ville nu helst bruge en bind til at lave et DNS stunt.<u
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester