Tu peux utiliser une directive 'rdr' (cf. pf.conf(5) en particulier "Translation examples").

mais ça ne marche pas
la redirection ne fonctionne pas

j'ai du faire un truc qui ne va pas.

fgudin wrote on 21. Sep 2007 at 18:48:



Ben voilà je vais essayer d'expliquer clairement la situation.

J'utilise bsd comme paserrelle/router dans un réseau qui compte plus ou moins 100 pc linux,mac et windows.
On utilise un contrôleur de domaine (Windows server 2003 R2) et les utlisateurs sont géré via active directory.
Ce serveur a comme ip interne 192.168.0.100

Pour diverse raison je dois m'absenter et je dois gérer le contrôleur de domaine par l'extérieur..bah oui.
J'utilise pour ça Remote Desktop ou Connexion à distance si tu veux et via une interface graphique j'accède au bureau du serveur 2003.

Mais voilà par le réseau ça marche à merveille mais par l'extérieur je suis bloqué au niveau du pare-feu, je le sais car j'ai fais un test via un pc de l'extérieur et un nmap via un serveur externe pour m'afficher l'état de mes ports.

Aucune connexion ne se fait via remote desktop et le scan de port ne m'affiche aucun port 3389 ouvert.

fgudin wrote on 21. Sep 2007 at 20:51:


Merci pour la correction
Ton idée de tunneling via ssh m'intéresse.
Comment indiquer a PF que l'on veut faire du tunneling ?

Pas de complication côté FW, tout se fait dans SSH:

• à la place de l'ouverture de flux rdesktop, tu fais un 'rdr' vers une machine qui va te servir de point d'accès:
  Code:

  rdr on $ext_if inet proto tcp from chez_toi to ($ext_if) port ssh -> ton_point_d_entree 
  
  

• chez toi:
  Code:

  ssh -L 3389:192.168.0.100:3389 ext_if_du_firewall 
  
  

• après ça, tu lances ton client RDesktop en le faisant pointer localement:
  Code:

  rdesktop 127.0.0.1... 
  
  

'chez_toi': l'IP publique que te donne ton ISP (à ton domicile), si elle est statique; sinon, remplace simplement par "any" (c'est une sécurité facultative)
'ton_point_d_entree': ton poste de travail ou une autre machine sur laquelle tu puisses te logger en SSH et qui pourra accéder au OuinOuin en RDesktop
'ton_appli_cliente_rdesktop 127.0.0.1' sera lancée depuis ta machine perso après avoir monté la connexion et le tunnel SSH (ce dernier se mettra en place dès l'authentification réussie, c'est le rôle du paramètre "-L 3389:192.168.0.100:3389")

dexinou wrote on 22. Sep 2007 at 07:19:

Quelques idées: la plus logique, coller un nom de domaine à ton firewall (dyndns.org). Sinon, tu peux (en mode bricole infâme) te mailer l'IP publique du FW lorsqu'elle change (exercice au bon soin du lecteur).
Et peut-être le mieux: trouver un vrai IAP qui te fournisse une IP fixe, au moins (surtout pour un accès d'entreprise). Quelques-uns le font gratuitement, sans même avoir à dire "s'il vous plait"...