img - Xakep Online

SYN/ACKНастраиваем проброс портов в DD-WrtOPENBSDÍàâåðíîå, ñàìûé ëîãè÷íûé è ïðîñòîé â íàñòðîéêå ïðîáðîñ ïîðòîâïîëó÷àåòñÿ â ÎÑ OpenBSD. Çäåñü ìåõàíèçì NAT òàêæå ðåàëèçîâàí âÿäðå è íàñòðàèâàåòñÿ ñ ïîìîùüþ øòàòíîãî pf, ñèíòàêñèñ êîòîðîãî êóäàÿñíåå è ïðîäóìàííåå ñèíòàêñèñà ipfw è, óæ òåì áîëåå, iptables. Âñå òîò æåïðîáðîñ 80-ãî ïîðòà íà ÿçûêå pf áóäåò âûãëÿäåòü ñëåäóþùèì îáðàçîì:# vi /etc/pf.conf# Íàñòðàèâàåì NATnat on rl1 from 192.168.10.0/24 to any -> $out_ip# Íàñòðàèâàåì ïðîáðîñ ïîðòîârdr on rl1 inet proto { tcp, udp } from any \to $out_ip port 80 -> 192.168.0.100Êàê è ïðåæäå, rl1 — âíåøíèé èíòåðôåéñ øëþçà, 192.168.0.100 — àäðåñâíóòðåííåãî ñåðâåðà, à out_ip — àäðåñ âíåøíåãî èíòåðôåéñà øëþçà.Ïðè ýòîì, åñëè ïðîáðîñ äîëæåí áûòü ñäåëàí íà ïîðò, îòëè÷íûé îò 80-ãî,äîñòàòî÷íî ïðîñòî äîáàâèòü êëþ÷åâîå ñëîâî «port» è ÷èñëîâîå çíà÷åíèåâ êîíåö ïåðâîãî ïðàâèëà.Ðàçðåøàåòñÿ èñïîëüçîâàíèå äèàïàçîíîâ ïîðòîâ, åñëè, êîíå÷íî æå, îíîìîæåò èìåòü êàêîé-òî ñìûñë:rdr on rl1 inet proto { tcp, udp } from any \to $out_ip port 5000:10000 -> 192.168.0.100Ïðèì. ðåä.: Íàïðèìåð, ñ ïîìîùüþ ýòîé ôè÷è óäîáíî ðàçðåøàòü ïðîõîæäåíèåòðàôèêà bittorrent:rdr on $ext_if inet proto tcp from any to $ext_if \port 6881:6889 -> $myhost port 6881:6889pass in quick on $ext_if inet proto tcp from any \to $myhost port 6880 >< 6890 keep stateÀâòîìàòè÷åñêèéïðîáðîñ ïîðòîâUniversal Plug and Play (UPnP) — òåõíîëîãèÿ, ïðèçâàííàÿóïðîñòèòü è àâòîìàòèçèðîâàòü ïðîöåññ îáùåíèÿ ñåòåâûõ óñòðîéñòâè ïðèëîæåíèé ìåæäó ñîáîé. Ïîääåðæèâàåòñÿ ïî÷òèëþáûì ñîâðåìåííûì ñåòåâûì îáîðóäîâàíèåì, âêëþ÷àåò âñåáÿ ìåõàíèçì àâòîìàòè÷åñêîãî ïðîáðîñà ïîðòîâ â ñëó÷àåíåîáõîäèìîñòè. Òîò æå ìåõàíèçì ðåàëèçîâàí âî ìíîãèõ ôàéëîîáìåííûõïðîãðàììàõ.124Проброс портов в популярном домашнем роутереD-Link DIR-300Êàê è â äðóãèõ ðàññìîòðåííûõ ðàíåå áðàíäìàóýðàõ, ïðèíÿòèå ðåøåíèÿî äàëüíåéøåé ñóäüáå ïàêåòîâ âîçëàãàåòñÿ íà ïðàâèëà ôèëüòðàöèè, ÷åðåçêîòîðûå ïàêåò áóäåò ïðîïóùåí óæå ïîñëå ïåðåíàïðàâëåíèÿ. Íî åñòüîäíî ìàëåíüêîå èñêëþ÷åíèå: èñïîëüçóÿ êëþ÷åâîå ñëîâî «pass» ñîâìåñòíîñ ïðàâèëîì rdr ìîæíî äîáèòüñÿ òàêîãî ïîâåäåíèÿ ñèñòåìû, êîãäàïàêåòû áóäóò îòïóñêàòüñÿ âî âíåøíèé ìèð, ìèíóÿ ïðàâèëà ôèëüòðàöèè(ñì. ñêðèíøîò «Ôîðâàðäèì âõîäÿùèå çàïðîñû íà ñåðâåð òåðìèíàëîâ èSQL-ñåðâåð»). Ýòà îñîáåííîñòü ìîæåò áûòü èñïîëüçîâàíà äëÿ îòëàäêèïðàâèë.Áóäü âíèìàòåëåí, â OpenBSD 4.7 ñèíòàêñèñ êîíôèãà íåñêîëüêîèçìåíèëñÿ:pass out on rl1 from 192.168.0.0/24 to any \nat-to $out_ippass in on rl1 proto tcp from any to any \port 80 rdr-to 192.168.0.100CISCOÑ ìîåé ñòîðîíû áûëî áû êîùóíñòâîì íå ðàññêàçàòü ïðî íàñòðîéêóïðîáðîñà ïîðòîâ ñ ïîìîùüþ ñåòåâîãî îáîðóäîâàíèÿ íåáåçûçâåñòíîéêîìïàíèè Cisco. Áëàãî, çäåñü âñå ðåøàåòñÿ îäíîé ïðîñòîé ñòðîêîé,êîòîðàÿ, òåì íå ìåíåå, áóäåò ðàçíîé äëÿ ðàçëè÷íûõ òèïîâ óñòðîéñòâ.Íàïðèìåð, ïðîáðîñ ïîðòîâ â Cisco PIX (Private Internet Exchange) èëèASA (Adaptive Security Appliance) îñóùåñòâëÿåòñÿ ñ ïîìîùüþ ñëåäóþùåéñòðîêè êîíôèãóðàöèè:static (inside,outside) tcp 1.2.3.4 www \192.168.0.100 www netmask 255.255.255.255 òî æå âðåìÿ äëÿ îáîðóäîâàíèÿ, ðàáîòàþùåãî íà îïåðàöèîííîé ñèñòåìåCisco IOS, ñòðîêà áóäåò âûãëÿäåòü òàê:ip nat inside source static tcp 192.168.0.100 80 \1.2.3.4 80Îáå îíè íå äåëàþò íè÷åãî êðîìå ïðîáðîñà ïîðòà 80 íà ñåðâåð192.168.0.100 äëÿ êëèåíòà ñ àäðåñîì 1.2.3.4. Ïðè ýòîì åñëè íåîáõîäèìîíàñòðîèòü ïðîáðîñ âñåõ ïîðòîâ, äîñòàòî÷íî ïðîñòî îïóñòèòü íîìåðà/èìåíà ïîðòîâ â ñòðîêå êîíôèãóðàöèè.OPENWRT И DD-WRTÊîíå÷íî æå, êðîìå îáîðóäîâàíèÿ èìåíèòîé Cisco íà ðûíêå ñóùåñòâóþòè ãîðàçäî ìåíåå äîðîãîñòîÿùèå ðåøåíèÿ âðîäå ðàçíîãî ðîäà äîìàøíèõðîóòåðîâ è òî÷åê äîñòóïà. Áîëüøîé ïîïóëÿðíîñòüþ ñðåäè íèõ ïîëüçóþòñÿóëüòðà-áþäæåòíûå ñåòåâûå óñòðîéñòâà òàêèõ êîìïàíèé, êàê D-Link,ASUS, Linksys è äðóãèõ. Íà ìíîãèõ èç íèõ ìîæíî óñòàíîâèòü ñâîáîäíûåè áîëåå ïðîäâèíóòûå ïðîøèâêè âðîäå OpenWrt, X-Wrt è DD-wrt, êîòîðûåîòëè÷àþòñÿ áîëåå ðàçâèòîé ñèñòåìîé íàñòðîéêè è õîðîøèì êîìüþíè-XÀÊÅÐ 08 /139/ 10