| farlow |
25-06-2007 15:29 603781 |
проброс портов для входа в АД
Всем привет, помогите решить небольшую задачку
необходимо сделать проброс портов для того чтобы компы из внешней сети могли входить в актив директори, которая находится внутри
вобщем есть локальная сеть, в ней есть винда 2003, на ней висит актив директори
в качестве шлюза в инет для этой локалки используется машинка на которой фрибсд
так же есть еще 1 удаленный офис, необходимо компы с этого офиса подключить к серверу с 2003 виндой, чтоб актив директори работала, шары и т.д.
здесь http://forum.oszone.net/thread-85815.html подсказали какие порты необходимо открыть
но чего то не получается.
порт для терминала нормально работает, остальные нет
natd.conf
Код:
same_ports yes
use_sockets yes
#terminal
redirect_port tcp 192.168.1.111:3389 3389
#LDAP
redirect_port tcp 192.168.1.111:389 389
redirect_port udp 192.168.1.111:389 389
#Kerberos
redirect_port tcp 192.168.1.111:88 88
redirect_port udp 192.168.1.111:88 88
#NETBIOS datagram
redirect_port udp 192.168.1.111:135 138
#NETBIOS name
redirect_port udp 192.168.1.111:137 137
#NETBIOS seans
redirect_port tcp 192.168.1.111:139 139
#SMB
redirect_port tcp 192.168.1.111:445 445
ipfw
Код:
00003 allow udp from any to any dst-port 137,138,139,389
00003 allow udp from any to any dst-port 445,88,445
00003 allow tcp from any to any dst-port 137,138,139,389
00003 allow tcp from any to any dst-port 445,88,445
00009 allow tcp from 192.168.1.253 22 to 192.168.1.0/24 via rl0
00009 allow tcp from 192.168.1.0/24 to 192.168.1.253 dst-port 22 via rl0
00010 deny tcp from any to xx.xx.xx.xx dst-port 21,53,143,993,995 via an0
00012 deny udp from any to xx.xx.xx.xx dst-port 21,53,143,993,995 via an0
00014 deny tcp from any to xx.xx.xx.xx dst-port 53,150,151,514,587,1812,3128,3306,7510
00016 deny udp from any to xx.xx.xx.xx dst-port 53,150,151,514,587,1812,3128,3306,7510
00022 deny tcp from any to 192.168.1.253 dst-port 514,587,1812,3128,3306
00024 deny udp from any to 192.168.1.253 dst-port 514,587,1812,3128,3306
00030 deny tcp from 192.168.1.0/24 to xx.xx.xx.xx dst-port 514,587,3128,1812,3306 via rl0
00032 deny tcp from xx.xx.xx.xx 514,587,3128,1812,3306 to 192.168.1.0/24 via rl0
00050 allow ip from 192.168.1.0/24 to 192.168.1.253 via rl0
00052 allow ip from 192.168.1.253 to 192.168.1.0/24 via rl0
00080 divert 21000 ip from any to any
00088 allow tcp from 192.168.1.0/24 to 195.208.158.86 dst-port 22,25,80,110,443,8010
00089 allow tcp from xx.xx.xx.xx 22,25,80,110,443,8010 to 192.168.1.0/24
00110 divert 8668 ip from 192.168.1.0/24 to any via an0
00130 divert 8668 ip from any to xx.xx.xx.xx via an0
#terminal
00150 deny tcp from not xx.remote_oficce.xx to xx.xx.xx.xx dst-port 3389
00330 allow ip from any to any via lo0
00340 deny icmp from any to any frag
00350 deny ip from xx.xx.xx.xx/30 to 192.168.1.253
00370 deny ip from 192.168.1.0/24 to xx.xx.xx.xx
59999 deny icmp from any to xx.xx.xx.xx
65500 allow ip from any to xx.xx.xx.xx via an0
65510 allow ip from xx.xx.xx.xx to any via an0
65534 deny ip from any to any
xx.xx.xx.xx - внешний ип
вобщем ткните носом, буду благодарен |
