作爲我工作的一部分,我需要了解客戶公司網絡中服務器的可用性。爲了讓我的生活變得艱難,他們的整個網絡隱藏在一對網關機器後面(爲此,我們可以假裝只有一臺機器)運行FreeBSD 7.1-PRERELEASE(不,我不知道爲什麼他們運行的是舊版本,預發行,版本)。通過BSD網關將NRPE監控服務器連接到受監控服務器的問題
不幸的是,BSD變體運行PF和我的PF技能是相當有限的,所以我試圖適應這裏的例子:http://home.nuug.no/~peter/pf/en/rdr2servers.html到我的情況,並提出以下規則:
(注意,NRPE端口是5666和X在IP地址只是爲了隱藏真實的IP)
rdr on $ ext_if inet proto tcp from any to $ ext_if port 5666 - > 192.168.XX
pass proto tcp from any to 192.168.XX port 5666 flags S/SA synproxy狀態
嘗試連接到192.168.XX上的NRPE守護程序:5666會產生超時。
我已確認端口5666可從網關機器(nmap -p5666 192.168.X.X)到達,並且至少有些東西在那裏存在(nc 192.168.X.X 5666)。我還確認NRPE在受監視的計算機上正常工作(使用nrpe_check -H localhost),並允許所有主機與NRPE守護程序(通過nrpe.cfg)通信。
任何人都可以幫我重寫我的PF規則,讓它起作用嗎?作爲參考,他們的系統管理員寫了下面的PF規則(這也不起作用):
rdr傳遞$ ext_if inet proto tcp從任何到$ ext_if端口5666 - > 192.168.XX
傳出$ int_if inet proto tcp從任何到192.168.XX端口5666