亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
最近訪問板塊 發(fā)新帖
查看: 3971 | 回復(fù): 0
打印 上一主題 下一主題

內(nèi)網(wǎng)重定向問題解答(更新) [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報告]
發(fā)表于 2003-05-23 14:25 |只看該作者 |倒序瀏覽
  1.                 ipfilter 重定向時
  2. 服務(wù)器在內(nèi)網(wǎng)時,內(nèi)網(wǎng)客戶機用域名訪問服務(wù)器帶來的問題以及解決方法

  4. Aborigen Yin 阿土
  5. 2003.05.23
  6. v3.0


  9. 網(wǎng)絡(luò)拓撲:
  10. (所有地址均為假設(shè))

  12.                |  
  13.                | wan 互聯(lián)網(wǎng)接口
  14.                |
  15.              router  上級路由器 (172.16.100.254/24)由ISP管理
  16.                |
  17.                |      (網(wǎng)卡0/fxp0)172.16.100.80/24 網(wǎng)關(guān) 172.16.100.254
  18.             gateway   我們自己的ipfilter網(wǎng)關(guān)   gateway_enable="YES"
  19.                |      (網(wǎng)卡1/fxp1)192.168.200.254/24
  20.                |
  21.             switch    內(nèi)部中心交換機
  22.               /|\
  23.              / | \
  24.             /  |  \
  25.            /   |   \----- web server / ftp server 192.168.200.250/24 網(wǎng)關(guān) 192.168.200.254
  26.           /    |
  27.          /     |
  28.     client1  client2 192.168.200.100/24 網(wǎng)關(guān) 192.168.200.254

  30. 設(shè)置dns服務(wù)器 www.oss.cn ->; 172.16.100.80 ftp.oss.cn ->; 172.16.100.80

  32. 要求無論內(nèi)外網(wǎng),都能訪問 http://www.oss.cn ftp://ftp.oss.cn (主動/被動 模式)。

  34. #nat規(guī)則
  35. #針對fxp0(網(wǎng)卡0的規(guī)則。
  36. #以下兩條規(guī)則是為外部網(wǎng)絡(luò)訪問內(nèi)網(wǎng)的服務(wù)器。
  37. #for webserver
  38. rdr fxp0 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  39. #for ftp server
  40. rdr fxp0 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp

  42. #以下6條map規(guī)則是為讓內(nèi)網(wǎng)機器訪問外部網(wǎng)絡(luò)而提供地址/端口轉(zhuǎn)換服務(wù)的。
  43. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port ftp ftp/tcp
  44. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port isakmp ipsec/udp
  45. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port 7070 raudio/tcp
  46. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 proxy port 1720 h323/tcp
  47. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32 portmap tcp/udp 40000:60000
  48. map fxp0 192.168.200.0/24 ->; 172.16.100.80/32
  49. #針對fxp0(網(wǎng)卡0)的規(guī)則結(jié)束。

  51. #針對fxp1(網(wǎng)卡1)的規(guī)則。
  52. #由于server跟內(nèi)網(wǎng)客戶機在同一個子網(wǎng),不能用類似:
  53. #rdr fxp1 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  54. #rdr fxp0 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp
  55. #這樣的規(guī)則.
  56. #當(dāng)客戶機訪問http://www.osscn時,
  57. #重定向規(guī)則生效,192.168.200.100:1025 ->; 172.16.100.80:80 -rdr->;>; 192.168.200.100:1025 ->; 192.168.200.250:80
  58. #webserver收到192.168.200.100:1025 ->; 192.168.200.250:80 的請求,這里,192.168.200.100與192.168.200.250屬于同一網(wǎng)段,所以
  59. #自然產(chǎn)生192.168.200.250:80 ->; 192.168.200.100:1025的回應(yīng)。
  60. #返回的數(shù)據(jù)是直接經(jīng)交換機回到客戶機.
  61. #沒有經(jīng)過網(wǎng)關(guān)的fxp1,從192.168.200.100來看,192.168.200.250:80 ->; 192.168.200.100:1025的回應(yīng)是非法的;
  62. #所以直接返回的數(shù)據(jù)被客戶機drop掉;
  63. #同時客戶機在等待請求從172.16.100.80:80的返回;
  64. #由于webserver返回的數(shù)據(jù)是直接回到客戶機,沒有經(jīng)過網(wǎng)關(guān)的fxp1,所以
  65. #網(wǎng)關(guān)不會有數(shù)據(jù)返回給客戶機;
  66. #做以下NAT規(guī)則:
  67. #假設(shè)ipfilter網(wǎng)關(guān)上開放22tcp端口用于遠程管理;
  68. #這個重定向是為了防止網(wǎng)關(guān)本身的22端口被下面的map規(guī)則覆蓋(map循環(huán));如果你的網(wǎng)關(guān)上有別的服務(wù)需要從內(nèi)網(wǎng)訪問,依次類推。
  69. #是因為在ipfilter的處理流程中rdr規(guī)則比map規(guī)則優(yōu)先,rdr的返回數(shù)據(jù)通過查找狀態(tài)表而直接返回,不經(jīng)過map規(guī)則。
  70. rdr fxp1 192.168.200.254 port 22 ->; 127.0.0.1 port 22 tcp
  71. #以下兩個rdr作用同上,只是這是為了內(nèi)網(wǎng)訪問做的。
  72. #for webserver
  73. rdr fxp1 172.16.100.80/32 port 80 ->; 192.168.200.250 port 80 tcp
  74. #for ftp server
  75. rdr fxp1 172.16.100.80/32 port 21 ->; 192.168.200.250 proxy port 21 ftp/tcp

  77. #以下map規(guī)則是為讓內(nèi)網(wǎng)機器訪問內(nèi)網(wǎng)服務(wù)器而設(shè)置的,對發(fā)往server的ip進行map。
  78. #有ftp 服務(wù)器,所以需要ftp map proxy.
  79. map fxp1 192.168.200.0/24 ->; 192.168.200.254/32 proxy port ftp ftp/tcp
  80. map fxp1 192.168.200.0/24 ->; 192.168.200.254/32 portmap tcp/udp 40000:60000
  81. #map fxp1 192.168.200.0/24 ->; 192.168.200.254/32
  82. #以下map規(guī)則是對從server的主動返回的ip進行map,比如ftp主動模式下的data數(shù)據(jù)發(fā)送。
  83. #此時不需要ftp map proxy.
  84. map fxp1 192.168.200.250/32 ->; 172.16.100.80/32  portmap tcp/udp 40000:60000
  85. #map fxp1 192.168.200.250/32 ->; 172.16.100.80/32

  87. #######

  89. #通過這些設(shè)置,內(nèi)網(wǎng)客戶機訪問的ip流程變?yōu)椋?br />
  90. #請求:
  91. 192.168.200.100:1026 ->; 172.16.100.80:80
  92.            rdr | (網(wǎng)關(guān)內(nèi)部)
  93. 192.168.200.100:1026 ->; 192.168.200.250:80
  94.            map | (網(wǎng)關(guān)內(nèi)部)
  95. 192.168.200.254:4321 ->; 192.168.200.250:80
  96. #返回
  97. 192.168.200.250:80 ->; 192.168.200.254:4321
  98.            map 狀態(tài)表 | (網(wǎng)關(guān)內(nèi)部)
  99. 192.168.200.250:80 ->; 192.168.200.100:1026
  100.            rdr 狀態(tài)表 | (網(wǎng)關(guān)內(nèi)部)
  101. 172.16.100.80:80 ->; 192.168.200.100:1026
  102. #請求完成

  104. #ftp 訪問比web訪問復(fù)雜些:
  105. #請求:(假設(shè)PORT/主動模式)
  106. 192.168.200.100:1028 ->; 172.16.100.80:21
  107.   rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  108. 192.168.200.100:1028 ->; 192.168.200.250:21
  109.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  110. 192.168.200.254:4322 ->; 192.168.200.250:21
  111. #這是控制通道,跟web一樣的過程;
  112. #返回
  113. 192.168.200.250:21 ->; 192.168.200.254:4322
  114.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  115. 192.168.200.250:21 ->; 192.168.200.100:1028
  116.   rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  117. 172.16.100.80:21 ->; 192.168.200.100:1028
  118. #這是控制通道,跟web一樣的過程;
  119. #請求完成
  120. #登陸完成后執(zhí)行l(wèi)s -l指令,此時需要data通道進行文件列表的傳輸。
  121. 客戶端創(chuàng)建一個監(jiān)聽等待接受數(shù)據(jù);
  122. 192.168.200.100:4567 LISTEN
  123. 通過21傳遞(port) 192.168.200.100:4567 ->;172.16.100.80
  124.     rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  125. 通過21傳遞(port) 192.168.200.100:4567 ->;192.168.200.250
  126.     map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  127. 通過21傳遞(port) 192.168.200.254:66666 ->;192.168.200.250
  128. (同時創(chuàng)建)rdr 192.168.200.254:66666 ->; 192.168.200.100:4567
  129. #數(shù)據(jù)返回:
  130. 192.168.200.250:20 ->; 192.168.200.254:66666 (注意,這是ftp server主動發(fā)起的連接)
  131.     map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)產(chǎn)生的rdr
  132. 192.168.200.250:20 ->; 192.168.200.100:4567(注意,這是ftp server主動發(fā)起的連接)
  133. map規(guī)則處理(map fxp1 192.168.200.250/32 ->; 172.16.100.80/32  portmap tcp/udp 40000:60000) |
  134. 172.16.100.80:20 ->; 192.168.200.100:4567
  135. #請求完成,ls -l 指令完成;

  137. #請求:(假設(shè)PASV/被動模式)
  138. 192.168.200.100:1028 ->; 172.16.100.80:21
  139.   rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  140. 192.168.200.100:1028 ->; 192.168.200.250:21
  141.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  142. 192.168.200.254:4322 ->; 192.168.200.250:21
  143. #這是控制通道,跟web一樣的過程;
  144. #返回
  145. 192.168.200.250:21 ->; 192.168.200.254:4322
  146.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  147. 192.168.200.250:21 ->; 192.168.200.100:1028
  148.   rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  149. 172.16.100.80:21 ->; 192.168.200.100:1028
  150. #這是控制通道,跟web一樣的過程;
  151. #ftp client設(shè)置為使用被動模式。
  152. #請求完成
  153. ftp client發(fā)出PASV 指令,請求服務(wù)器使用被動模式(通過21通道進行)
  154. ftp server 創(chuàng)建監(jiān)聽,等待連接
  155. 192.168.200.250:9999 LISTEN
  156. 通過21傳遞(port) 192.168.200.250:9999 ->;192.168.200.254
  157.     map | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  158. 通過21傳遞(port) 192.168.200.250:9999 ->;192.168.200.100
  159.     rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  160. 通過21傳遞(port) 172.16.100.80:9999 ->;192.168.200.100
  161. (同時創(chuàng)建)rdr 172.16.100.80:66666 ->; 192.168.200.250:9999
  162. #數(shù)據(jù)返回:收到pasv指令的回應(yīng)后
  163. #ftp client發(fā)出ls -l指令然后ftp client 主動連接pasv指令中返回的地址和端口(172.16.100.80:9999):
  164. #請求連接
  165. 192.168.200.100:7896 ->; 172.16.100.80:9999 (注意,這是ftp client主動發(fā)起的連接)
  166.     rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) (臨時rdr)
  167. 192.168.200.100:7896 ->; 192.168.200.250:9999
  168.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部)
  169. 192.168.200.254:7896 ->; 192.168.200.250:9999
  170. #數(shù)據(jù)返回;
  171. 192.168.200.250:9999 ->; 192.168.200.254:7896
  172.   map proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  173. 192.168.200.250:9999 ->; 192.168.200.100:7896  
  174.   rdr proxy ftp/tcp | (網(wǎng)關(guān)內(nèi)部) 狀態(tài)表
  175. 172.16.100.80:9999 ->; 192.168.200.100:7896  
  176. #返回完成,ls -l 指令完成;

  178. #從ftp的過程看,相對與使用單一連接的web請求來說,ftp復(fù)雜一些。
  179. #其他類似ftp的協(xié)議重定向如果沒有相應(yīng)的proxy rdr/map就不行了。

  181. 羅嗦一句,有沒有人愿意在pf/netfilter上試試?  
復(fù)制代碼
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP