---

Hej NG,

Jeg har nu siddet og høvlet hele 'man ipfw' igennem, og har stadig ikke
fundet en løsning på mit problem.

Mit problem er det at jeg har en web-, ftp-, mysqlserver stående bag min
firewall der kører IPFW.
Og jeg skal så have lukket op i firewallen så disse services kan ses udefra.

Men jeg kan til stadighed ikke finde løsningen. Er der nogen af jer der har
en?


Mvh.
Daniel Nielsen

---

> Mit problem er det at jeg har en web-, ftp-, mysqlserver stående bag min
> firewall der kører IPFW.
> Og jeg skal så have lukket op i firewallen så disse services kan ses
udefra.

Køre du med NAT (natd)? Køre maskinen/maskinerne bagved med private IP numre
eller public IP numer?

JoDoe.

---

> Køre du med NAT (natd)? Køre maskinen/maskinerne bagved med private IP
numre
> eller public IP numer?
>
> JoDoe.


Jeg kører FreeBSD 4.6 på maskinen, den kører også 'natd', maskinerne bagved
kører i en privat IP serie...

Mit netværk:


| -------Workstation
Firewall ----------|------ HUB---| ------ Server (web og div.)
| ------ Laptop

---

> Jeg kører FreeBSD 4.6 på maskinen, den kører også 'natd', maskinerne
bagved
> kører i en privat IP serie...
>
> Mit netværk:
>
>
> | -------Workstation
> Firewall ----------|------ HUB---| ------ Server (web og div.)
> | ------ Laptop
>
>

Så er det vel bare:

rc.firewall:
${fwcmd} add divert natd ip from any to any via ep0 (hvor ep0 er dit WAN
interface)
${fwcmd} add allow tcp from any to myserver 21,80,3306 in
${fwcmd} add allow tcp from myserver to any 21,80,3306 out

natd.conf:
interface ep0
redirect_port tcp myserver:21 pip:21 (hvor pip er dit public IP nummer)
redirect_port tcp myserver:80 pip:80 (hvor pip er dit public IP nummer)
redirect_port tcp myserver:3306 pip:3306 (hvor pip er dit public IP nummer)

JoDoe.

---

"Jodoe" <nowhere@microsoft.com> wrote in message
news:3d539c17$0$88380$edfadb0f@dspool01.news.tele.dk...
> Så er det vel bare:
>
> rc.firewall:
> ${fwcmd} add divert natd ip from any to any via ep0 (hvor ep0 er dit WAN
> interface)
> ${fwcmd} add allow tcp from any to myserver 21,80,3306 in
> ${fwcmd} add allow tcp from myserver to any 21,80,3306 out
>
> natd.conf:
> interface ep0
> redirect_port tcp myserver:21 pip:21 (hvor pip er dit public IP nummer)
> redirect_port tcp myserver:80 pip:80 (hvor pip er dit public IP nummer)
> redirect_port tcp myserver:3306 pip:3306 (hvor pip er dit public IP
nummer)
>
> JoDoe.



natd.conf ? Hvordan loades den ind i rc.conf eller includes den i min
ipfw.conf (jeg har lavet min egen conf fil - og den kører)

myserver? skal jeg her angive en ip adresse på den computer der kører
web/mysql/ftp o.s.v?

/Daniel

---

> > rc.firewall:
> > ${fwcmd} add divert natd ip from any to any via ep0 (hvor ep0 er dit WAN
> > interface)
> > ${fwcmd} add allow tcp from any to myserver 21,80,3306 in
> > ${fwcmd} add allow tcp from myserver to any 21,80,3306 out
> >
> > natd.conf:
> > interface ep0
> > redirect_port tcp myserver:21 pip:21 (hvor pip er dit public IP nummer)
> > redirect_port tcp myserver:80 pip:80 (hvor pip er dit public IP nummer)
> > redirect_port tcp myserver:3306 pip:3306 (hvor pip er dit public IP
> nummer)

> natd.conf ? Hvordan loades den ind i rc.conf eller includes den i min
> ipfw.conf (jeg har lavet min egen conf fil - og den kører)

Hvis du har lavet din egen natd conf fil, så er det vel bare at kopiere det
ind i dén.

> myserver? skal jeg her angive en ip adresse på den computer der kører
> web/mysql/ftp o.s.v?

Ja, det er dit interne IP nummer (192.168.1.10 f.eks.).

JoDoe.

---

Daniel Nielsen <d@d-net.dk_remove_for_no_spam> wrote:


> Jeg har nu siddet og høvlet hele 'man ipfw' igennem, og har stadig ikke
> fundet en løsning på mit problem.

> Mit problem er det at jeg har en web-, ftp-, mysqlserver stående bag min
> firewall der kører IPFW.
> Og jeg skal så have lukket op i firewallen så disse services kan ses udefra.

> Men jeg kan til stadighed ikke finde løsningen. Er der nogen af jer der har
> en?

Hvis det er til linux så se evt på http://www.sslug.dk/sikkerhed/
der er nogle artikler til både 2.2 og 2.4 kerner.


--
no signature :)