仕事の一環として、クライアントの企業ネットワーク内のサーバーの可用性を常に把握しておく必要があります。私の生活を苦しめているのは、彼らのネットワーク全体が、FreeBSD 7.1-PRERELEASE を実行している 1 組のゲートウェイ マシンの背後に隠されていることです (このため、マシンが 1 つしかないふりをすることができます)。 、プレリリース、バージョン)。
残念ながら、BSD バリアントは PF を実行し、私の PF スキルはかなり限られているため、http: //home.nuug.no/~peter/pf/en/rdr2servers.htmlの例を私の状況に合わせて、次のようにしました。ルール:
(注、NRPE ポートは 5666 であり、IP アドレスの X は実際の IP を隠すためのものです)
rdr on $ext_if inet proto tcp from any to $ext_if port 5666 -> 192.168.XX
pass proto tcp from any to 192.168 .XX ポート 5666 フラグ S/SA synproxy 状態
192.168.XX:5666 で NRPE デーモンに接続しようとすると、タイムアウトが発生します。
ポート 5666 がゲートウェイ マシンから到達可能であること (nmap -p5666 192.168.XX) と、少なくとも何かがそこにあること (nc 192.168.XX 5666) を確認しました。また、監視対象のマシンで NRPE が正しく動作すること (nrpe_check -H localhost を使用) と、すべてのホストが (nrpe.cfg を介して) NRPE デーモンと通信できることも確認しました。
これを機能させるためにPFルールを書き直すのを手伝ってくれる人はいますか? 参考までに、彼らのシステム管理者は次の PF ルールを作成しました (これも機能しませんでした):
rdr pass on $ext_if inet proto tcp from any to $ext_if port 5666 -> 192.168.XX
pass out on $int_if inet proto tcp from any to 192.168.XX ポート 5666