FreeBSD 7.2 + АМИКОН (СБРФ v07.005.00)

Vlad-vmz

Member
Добрый день, коллеги!
Установил ОС FreeBSD в качестве маршрутизатора на предприятии.

Но я столкнулся с проблемой: подключение банк-клиента проходит нормально, получение файлов то же, а вот на принятии файлов банк-клиент впадает в ступор.
При поднятом VPN-соединении сервер банка пингуется нормально.

Очень прошу помочь правильно настроить сервер, либо дать информацию, которая поможет настроить сервер самому (по каким портам соединяется, и т.д.)
 
Вернув в работу старый сервер с Kerio Winroute Firewall и протестировав работу через него, получил положительные результаты.
На старом сервер диагностика выявила, что клиент коннектится к внешнему серваку банка по 87 порту UDP(как описано на форуме).

Но коннекты на удаленный порт 87 на ФриБСД не запрещены.

Утилитка-тестер с тестовым сервером соединяется успешно, ответ от сервера приходит также на ура(при работе через FreeBSD).

Подскажите, где ещё можно причину поискать?
 
<r>Возможно, помогут коментарии в ветке "Как проверить соединение через межсетевой экран или прокси" этого же форума:
<URL url="http://www.amicon.ru/forum/viewtopic.php?t=460&start=15">http://www.amicon.ru/forum/viewtopic.php?t=460&start=15</URL>

еще посмотрите один из последних коментариев в этой ветке:
<URL url="http://www.amicon.ru/forum/viewtopic.php?t=867">http://www.amicon.ru/forum/viewtopic.php?t=867</URL>
который также, возможно, поможет разобраться с правилами FreeBSD IPFW</r>
 
Спасибо за ссылки, комрад!
Прочитав данные темы не очень хорошо понял общий принцип.

# ${Client} -- Клиент, скажем 192.168.10.99
# ${FPSU} -- Сервер, 77.108.111.100 - если тестовый
# ${IpOut} -- Внешний ИП шлюза
# ${LanOut} -- Внешний интерфейс шлюза

# добавляем правила NAT
${FwCMD} add divert natd ip from ${Client} to ${FPSU} out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# открываем порт, для идиотского ФПСУ-IP клиента
${FwCMD} add allow udp from ${FPSU} 87 to ${Client} via ${LanOut}

Не совсем ясно, что происходит с пакетом, после того как его дивертили NAT-правилами.

Правильно ли я понял общий принцип?
Необходимо сделать механизм, чтобы ушедший от ${Client} пакет с определенного порта должен вернуться на тот же порт, причем адрес-источник у ответного пакета должен совпадать с указаным в настройках VPN-ключа(типа флэшки)?
Если нет, поправьте.
 
<r>Вот как-то так:
<CODE><s>
Код:
</s><i>
</i>${LAN_IP} -- диапазон ip4 адресов локальной сети (например 192.168.0.0/24)
${LAN_IF} -- LAN interface
${WAN_IF} -- WAN interface
${WAN_GW} -- Default gateway
${FPSU}   -- Сервер, 77.108.111.100 - если тестовый

-f flush
# --- firewall
add check-state
add deny tcp from any to any established
.
.
.
# --- HTTP
# add allow tcp from ${lan_ip} to any 80 setup keep-state
# --- ФПСУ-IP
add allow udp from me to ${FPSU} 87 out xmit ${wan_if} keep-state
.
.
.
# --- конусный NAT
add divert natd ip from ${lan_ip} to any out recv ${lan_if} xmit ${wan_if}
add divert natd ip from any to ${lan_ip} out recv ${wan_if} xmit ${lan_ip}
add deny log all from any to any
<e>
</e></CODE>
К сожалению, под рукой нет FreeBSD и нет возможности проверить.</r>
 
<r>Усё получилось!
Если бы не комментарий:
# --- конусный NAT
Я бы наверно не разобрался так скоро.
Проблема решилась таким образом:
<CODE><s>
Код:
</s>nat on $ext_if from $glavbuh to $SBRF -> ($ext_if) static-port<e>
</e></CODE> ,
где $ext_if - без комментариев;
$glavbuh - локальный IP-адрес машины, за которой восседает главбух;
$SBRF - IP-адрес банка, на который коннектится утилитка поднятия VPN-связи. Адрес прописан в самом флэшкообразном VPN-ключе.

Всем успехов, коллеги!
Тему можно закрывать, я думаю.</r>
 
ФПСУ vs FreeBSD+IPFW+SQUID

<r><QUOTE author="Vlad-vmz"><s>
Vlad-vmz написал(а):
</s>Усё получилось!
Если бы не комментарий:
# --- конусный NAT
Я бы наверно не разобрался так скоро.
Проблема решилась таким образом:
<CODE><s>
Код:
</s>nat on $ext_if from $glavbuh to $SBRF -> ($ext_if) static-port<e>
</e></CODE> ,
где $ext_if - без комментариев;
$glavbuh - локальный IP-адрес машины, за которой восседает главбух;
$SBRF - IP-адрес банка, на который коннектится утилитка поднятия VPN-связи. Адрес прописан в самом флэшкообразном VPN-ключе.

Всем успехов, коллеги!
Тему можно закрывать, я думаю.<e>
</e></QUOTE>

Уважаемый Vlad-vmz (не сочтите за нахальство) <E>:oops:</E> , не поделитесь конфигом вашего IPFW, с собратом по мучению. У меня с 77м тест работает нормально, а вот со сбером фиг, хотя правила создал аналогичные тем что для тестового. Парюсь уже с неделю, пока в тупике.
Заранее спасибо.</r>
 
Назад
Сверху