Мы — долго запрягаем, быстро ездим, и сильно тормозим.
www.lissyara.su
—> статьи
—> FreeBSD
—> Мелочи
—> RinetdРедирект портов с помощью Rinetd
Автор: DNK.
Уважаемым автором сайта - паном Лисом, уже был описан принцип редиректа портов с использованием NAT, но все же хочу описать еще более простой способ - с использованием Rinetd.
Предположим что организация купила какую-то дополнительную биллинговую систему ,у стороннего разработчика, управляющуюся 5 серверами да еще под виндой. Разработчик находится в другой стране и для обслуживания системы ему необходим доступ к этим серверам (к примеру радмином). Кроме того, программеры написали и отлаживают какую-то нужную задачку для корпорации но (как обычно) не знают на каком компе она будет дальше эксплуатироваться , а менять 2 раза в неделю IP компа с задачей у пользователей в локальной сети (но во всех регионах страны) "не есть хорошо".
И так приступим к нашей нелегкой работе.
# cd /usr/ports/net/rinetd/
# make install clean
Теперь создаем наш конфиг для rinetd.
предположим : внутренние IP 5 серверов 192.168.1.5-9,внешний IP 85.85.85.85,локальный IP любимой фрюки 192.168.1.1
Настраиваем радмины на компах слушать на адресе к примеру : 1234.
"Блуждающий" сервер прогеров имеет текущий IP 192.168.1.50 и порт для проги 9898.
# ee /usr/local/etc/rinetd.conf
|
Собственно все.
# echo 'rinetd_enable="YES"` >> /etc/rc.conf
# /usr/local/etc/rc.d/rinetd start
Проверяем
#sockstat | grep rinetd
root rinetd 845 4 tcp4 85.85.85.85:12341 *:*
root rinetd 845 5 tcp4 85.85.85.85:12342 *:*
root rinetd 845 6 tcp4 85.85.85.85:12343 *:*
root rinetd 845 7 tcp4 85.85.85.85:12344 *:*
root rinetd 845 8 tcp4 85.85.85.85:12345 *:*
root rinetd 845 9 tcp4 192.168.1.1:9898 *:*
Желательно не забыть дописать в IPFW с каких IP разрешон доступ к внешним портам указанным в rinetd (разработчики как правило имеют статичные IP).Даем разработчику внешний IP и порты 1234Х - с указанием на какой комп они попадут.
Когда у прогеров опять поменяется IP , меняем 192.168.1.50 на другой и рестартум , а клиенты продолжают соединяться с 192.168.1.1 порт 9898
Вытераем натруженный пот и идем читать маны.
размещено: 2008-09-03,
последнее обновление: 2016-05-10,
автор: DNK
abigor, 2008-08-22 в 6:18:59
За статью спасибо. НО если честно, чтоб не городить лес из ipfw и natd или ipfw rinetd ( второй кстати если не изменяет память только tcp порты умеет редиректить) пользуйтесь pf там и нат и бинат из коробки есть :) и синтаксис не страшный как с первого раза кажется :)
DNK, 2008-08-22 в 10:38:46
Действительно pf делает все тоже самое,и легок в понимании синтаксиса,но я , например,привык по старинке с ipfw.
Rinetd проще в настройке и контроле состояния, редиректит все порты (не только tcp).
Данной статьей я не призываю к переходу на rinetd, а лишь показываю (особенно для начинающих админов) насколько прост редирект и в каких задачах хорошо его использовать.
К стати, уважаемый abigor, если вы напишете статью по настройке Pf для указанных и других интересных примеров , думаю это будет очень полезно и интересно для многих желающих мигрировать с ipfw на pf.
Morty, 2008-09-03 в 22:30:33
FreeBSD7 и kernel_nat,все решаемо одним конфигом ipfw ,
без запуска доп демонов , в том числе natd. Хотя в 6.*
связка ipfw+natd меня тоже устраивает.
www2, 2008-09-04 в 7:26:25
А ещё проще - iptables.
pshenya, 2008-09-04 в 11:11:35
кста там ещё можно лог включить временами очень удобно посмотреть кто и когда перебрасывался )
www2, 2008-09-04 в 13:41:28
xinetd, netcat и pptpproxy ещё опишите для комплекта
Yarikello, 2008-09-16 в 9:33:49
не упоминается о ограничениях.. не пробрасывает UDP. Долго мучался сервер кс пробрасывал когда =)
Dark, 2008-09-16 в 10:47:15
Это всё конечно замечательно, но автор умолчал о такой бяке как неумение RINETD передавать IP адрес клиента, что делает эту утилитку просто бессмысленной для большинства сетевых сервисов. В логах так и будет вечно светиться IP адресс сервера с которого идёт редирект, вместо реального IP клиента и заниматься сопоставлением логов, скажем, SMTP сервера с логами самого rinetd есть великий изврат.
+ если не изменяет память, в rc.conf также можно добавить rinetd_flags, чтобы указать путь до конфигурационного файла '-c /usr/local/etc/rinetd.conf', в противном случае, если верить документации, то приоритет будет по пути /etc/rinetd.conf
+Помимо указать ipfw с каких IP разрешон доступ у самого rinetd также есть похожие правила фильтрации, прописываемые в конфигурацинном файле.
Ну и всё-таки логирование надо включать logfile /var/log/rinetd.log в конфигурационном файле ибо по умолчанию не пишет.
Вердикт: верните natd на законное место.
Саня, 2008-09-19 в 23:40:49
85.85.85.85 12341 192.168.1.5 1234
так у меня не работает а работает так 0.0.0.0 12341 192.168.1.5 1234 . незнаю почему . Даже если делаю .sockstat | grep rinetd
kmb, 2008-09-20 в 15:14:19
Перебрасывает только tcp!
ugen0, 2008-10-14 в 13:10:11
rinetd кривое поделие - не способное работать с нормальной нагрузкойскажем в 100 коннектов - удалите эту статью. В FreeBSD natd прекрасно с этим справляется!
DNK, 2008-10-15 в 10:36:05
Уважаемый ugen0.Проверил работу rinetd
при коннекте 250, проблем нет.Я использую
pf как фиревол и для проброски портов, но (!!)
это не значит что ВСЕ должны использовать только pf.
Данная статья ознакомительная и предназначена (в основном)
для начинающих админов.
apm, 2008-12-06 в 21:39:59
Исходник rinetd выглядит как минимум страшно, мало того что он написан в Visual Studio и предназначет для винды, дык обратите внимание на качество кода.
lissyara, 2008-12-07 в 12:33:31
Он работает.
==========
Напишите свой - лучше. Если будет дейсвительно лучше - про rinetd все быстро забадут.
cawok, 2009-01-14 в 14:52:32
Спасиб! Очень полезно и просто! Кстати конфиг как у ipnat - тоже как вариант
mirlas, 2009-02-07 в 23:12:16
ugen0 прав, rintd - унылое говно. Стоял редирект паралельно с natd - через неделю работы (нагрузка в часы пик денем - ~180 коннектов в теченее 2 часов) или даже меньше - нагрузка на проц 100%, коннекты отваливаются, а нагрузка не падает. Так и работала эта какашка, пока не нашел jumpgate (есть в портах) - забыл про сервак, на котором она стоит :) Наверно уже с полгода аптайм, если не больше.
cawok, 2009-04-02 в 22:51:34
А у меня вот возникла проблемка:
869 root 1 114 0 3104K 1084K RUN 309:02 80.66% rinetd
cat_ua, 2009-04-09 в 17:32:35
За статью спс. А можно ли указать диапазон портов и как?
Saykhan, 2009-06-16 в 5:45:53
Если IP динамический, то вместо внешнего айпи ставится 0.0.0.0
wildcat, 2009-07-16 в 12:45:43
Маленький комментарий. rinetd действительно удобен, но есть нюанс, может кто не знает. Когда на dst ip приходит коннекшн проброшенный со шлюза посредством rinetd, он (dst) думает, что пришли с ip шлюза. В случае, если порт проброшен посредством natd, src ip не меняется. То есть для корректной работы почтового сервера, находящегося в приватной сети за шлюзом с фильтрацией по DRBL rinetd не пригоден. Нужно использовать natd.
Dmitry, 2009-10-14 в 9:42:36
А он работает вообще на 7.2 ?? Замучался....
В конфиге:
cat /usr/local/etc/rinetd.conf
80.64.xx.2xx 1879 192.168.0.15 1879
далее пускаю от рута
/usr/local/etc/rc.d/rinetd start и получаю
rinetd: couldn't bind to address 80.64.хх.2хх port 1879
Где грабли то? На фряхе 6.3 - все пучком.
wildcat, 2009-10-14 в 12:28:23
Вообще-то прекрасно работает.
Проверьте, кто висит у Вас на этом порту и занимает его.
sockstat -4 |grep 1879
до запуска rinetd
либо проверьте правильность внешнего IP :)
Ivan, 2009-11-29 в 13:26:49
Хорошая вещь, natd конечно лучше, но и rinetd заслуживает внимания.
Саня , 2009-12-24 в 19:25:01
>[оверквотинг удален]
>
>
>РЕШИЛ проблему очень просто:
>в портах /usr/ports/net/rinetd
>ставим, создаем файл конфига /usr/local/etc/rinetd.conf
>
>формат: rinetd.conf
>внешнийIP внешнийПОРТ внутреннийIP внутреннийПОРТ
>
та как должнобить ((((((((9
>ВСЕ ЗАРАБОТАЛО С ПЕРВОГО РАЗА
Только вот синтаксис ты немножко неправильно написал - у меня заработало вот так:
внутренний_адрес_карточки порт адрес_назначения порт
Александр, 2009-12-24 в 19:52:24
вот мой пример работает !
logcommon #тип лог файла
logfile /var/log/rinetd.log #собственно сам лог файл
allow *.87.154.*
deny 192.*.*.*
deny 192.168.*.*
deny 224.*.*.*
deny 172.16.*.*
deny 172.16.*.*
deny 10.*.*.*
deny 169.254.*.*
0.0.0.0 8020 192.168.3.220 8080
andrey7x7, 2011-04-18 в 13:01:28
А кто-нить сталкивался с тем что при отправке письма с вложением 50-100kb оно в в упор не хочет отправляться?
Только из-за этого пришлось поднять NAT для почты,
но как быть с RDP ибо тоже тупит хотя и работает :)
srg, 2011-10-13 в 1:20:05
Товарищщи! Обратите внимание на то, что тут описываются конкретные случае в большенстве случае по Defoult событиям по настройке сервисов. Если возникают проблемы или же не допонимания к той или иной статье, пишите в форум. не стоит засорять доску, уважайте автора сайта.
Александр, 2020-11-12 в 18:05:32
Проблема вто что програма начала есть место на диске.
/dev/nvd0p2 447G 447G -35G 109% /
./rinetd restart
df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/nvd0p2 447G 52G 359G 13% /
rinetd.conf
logcommon
logfile /var/log/rinetd.log
0.0.0.0 3398 192.168.3.251 3389 #
#0.0.0.0 2217 192.168.3.17 22 #
0.0.0.0 2222 192.168.3.70 22 #
rinetd.log 85
rinetd.log.0.gz 16578
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
Комментарии пользователей [29 шт.]