Re: pf redirect

Den 24/01/2012 kl. 17.07 skrev Martin Toft:

>> Jeg har tilføjet følgende i pf.conf på serveren:
>>
>> rdr on igb0 inet proto tcp from any to 82.103.142.37 port = imap -> 46.30.210.152 port 143
>>
>> Jeg forventede derefter at kunne telnette til 82.103.142.37 port 143
>> og få fat i 46.30.210.152. Men min telnet session hænger, og pfctl
>> skriver:
>>
>> all tcp 46.30.210.152:143 (82.103.142.37:143) <- 217.157.7.216:64982 CLOSED:SYN_SENT
>>
>> Nogen bud på, hvordan jeg får det til at virke?
>
> Din redirect ændrer kun destinationsadressen på pakkerne. Når serveren
> 46.30.210.152 sender SYN+ACK tilbage for at besvare klientens SYN, så er
> det med klientens adresse som destination, ikke 82.103.142.37. Dvs. din
> klient modtager en SYN+ACK fra en modpart, som den ikke forventer at
> modtage noget fra - den snakker jo med 82.103.142.37:143, ikke med
> 46.30.210.152:143.
>
> Her er min kilde: http://www.openbsd.org/faq/pf/rdr.html#reflect
>
> Hvis du vil løse det udelukkende vha. pf, så skal du lave rdr-to og
> nat-to kombinationen, der er beskrevet i sidste afsnit på siden.
>
> Bemærk at pfs aktuelle syntaks er anderledes ift. din installation. Jeg
> ved ikke om "received-on" er noget nyt. Det er muligt, at tricket ikke
> virker, hvis din server kun har ét netkort.
>
> Alternativt er der TCP proxying vha. inetd og nc. Det vil i hvert fald
> virke :-)

Tak for forklaringen. Jeg forsøgte at fifle lidt videre med redirect og nat i pf, men opgav. Jeg har kun ét interface til rådighed på serveren, så det kan være forklaringen.

IMAP proxyen skal også bruges af et par ikke-tekniske kolleger, så jeg er ikke så glad for SSH tunnel løsningen. Jeg endte derfor med at tilføje

   imap4 stream tcp nowait nobody /usr/bin/nc nc 46.30.210.152 143

til inetd.conf, føje 'inetd_enable="YES"' til rc.conf og så '/etc/rc.d/inetd start'. Nu har jeg en fin IMAP proxy! Og med en lille ændring i vores DNS server opdager kollegerne ikke noget.

Tak for hjælpen til alle,
Erik
Received on Tue 24 Jan 2012 - 22:23:27 CET