iptables odpowiada Mac OS X

Chcę przekazywać żądania od 192.168.99.100:80do 127.0.0.1:8000. Oto jak bym to zrobił w systemie Linux iptables:

iptables -t nat -A OUTPUT -p tcp --dport 80 -d 192.168.99.100 -j DNAT --to-destination 127.0.0.1:8000

Jak mogę zrobić to samo w MacOS X? Wypróbowałem kombinację ipfwpoleceń bez większego powodzenia:

ipfw add fwd 127.0.0.1,8000 tcp from any to 192.168.99.100 80

(Dla mnie sukcesem jest wskazanie przeglądarki http://192.168.99.100i uzyskanie odpowiedzi z serwera programistycznego, na którym działam localhost:8000)

Więc ja dowiedziałem się sposób to zrobić. Nie jestem pewien, czy to preferowany sposób, ale działa! W swojej ulubionej muszli:

sudo ifconfig lo0 10.0.0.1 alias
sudo ipfw add fwd 127.0.0.1,9090 tcp from me to 10.0.0.1 dst-port 80

(Alias lo0wydaje się być brakującą częścią)

Jeśli chcesz, aby (fałszywa) domena wskazywała ten nowy alias, upewnij się, że plik / etc / hosts zawiera wiersz:

10.0.0.1 www.your-domain.com

Udało mi się to uruchomić za pomocą poleceń ifconfigi pfctlna komputerze Mac 10.10.2. Z następującym podejściem mam powodzeniem mapowanie 127.0.0.1:3000do mydomain.comlokalnie na moim komputerze.

W wierszu poleceń wprowadź następujące dwa polecenia, aby przekierować połączenia 127.0.0.1:3000do 10.0.0.1:

sudo ifconfig lo0 10.0.0.1 alias
echo "rdr pass on lo0 inet proto tcp from any to 10.0.0.1 port 80 -> 127.0.0.1 port 3000" | sudo pfctl -ef -

Następnie edytuj plik /etc/hostslub /private/etc/hostsplik i dodaj następujący wiersz, aby zmapować domenę 10.0.0.1.

10.0.0.1 mydomain.com

Po zapisaniu pliku hosts opróżnij lokalny DNS:

sudo discoveryutil udnsflushcaches

Teraz otwórz mydomain.comw przeglądarce, a zobaczysz serwer hostowany na porcie localhost (tj 127.0.0.1:3000.). Zasadniczo ten proces mapuje <ip>:<port>nowy na nowy, <ip>dzięki czemu można następnie mapować hosta na ten adres IP.

Ja też ostatnio musiałem zrobić coś podobnego i przy poszukiwaniu tej odpowiedzi doszedłem. Niestety, odpowiedź na temat zastosowań Nafe, ipfwktóra jest obecnie nieaktualna i niedostępna w OSX; a odpowiedź Kevina Leary'ego jest rzeczywiście nieco zuchwała. Musiałem więc zrobić coś lepszego (czystszego) i postanowiłem udostępnić to tutaj dla potomności. Ta odpowiedź w dużej mierze opiera się na podejściu wymienionym w tym punkcie .

Jak wspomina OP, wskazanie przeglądarki 192.168.99.100 powinno uzyskać odpowiedź z serwera na localhost: 8000. Dodanie aliasu do ifconfigtak naprawdę nie jest konieczne, pfctlsam jest wystarczający: aby to osiągnąć, pf.confplik w /etc/pf.confwymaga modyfikacji.

Najpierw tworzymy (z sudo) nowy plik kotwicy (nazwijmy go redirection) pod adresem: /etc/pf.anchors/redirection. Jest to po prostu zwykły plik tekstowy i zawiera następujące linie (tak jak w odpowiedzi Kevin Leary) rdr pass on lo0 inet proto tcp from any to 192.168.99.100 port = 80 -> 127.0.0.1 port 8000. Po utworzeniu nowego pliku kotwicy należy do niego odwołać się w pf.confpliku. Otwórz pf.confplik za pomocą sudo i dodaj rdr-anchor "redirection"po ostatniej linii kotwiczenia rdr (która jest rdr-anchor "com.apple/*") i dodaj load anchor "redirection" from "/etc/pf.anchors/redirection"na końcu.

Ostatecznie tak powinien wyglądać plik pf.conf:

scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "com.apple/*"
rdr-anchor "redirection"  #added for redirection/port forwarding
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"
load anchor "pow" from "/etc/pf.anchors/redirection"  #added for redirection/port forwarding

I to już wszystko. Po prostu uruchom ponownie pfctl, wydając polecenie, sudo pfctl -daby go najpierw wyłączyć, a następnie sudo pfctl -fe /etc/pf.confuruchomić ponownie.

Teraz, jeśli potrzebujesz, aby stało się to automatycznie po każdym ponownym uruchomieniu, musisz wykonać jeszcze trochę pracy: demon uruchamiający dla pfctlmusi zostać zaktualizowany (wspomniana lista wspomina, że ​​pf jest włączany automatycznie przy starcie, jednak nie wydaje się sprawa z patrzenia na kod). Otwórz (za pomocą sudo) System/Library/LaunchDaemons/com.apple.pfctl.plisti poszukaj tego:

<array>
          <string>pfctl</string>
          <string>-f</string>
          <string>/etc/pf.conf</string>
</array>

i dodaj linię, <string>-e</string>aby ostatecznie zrobić to tak:

<array>
         <string>pfctl</string>
         <string>-e</string>
         <string>-f</string>
         <string>/etc/pf.conf</string>
</array>

Że należy to zrobić.

Uwaga : Apple nie pozwala już na zmianę plików demona uruchamiania w ten sposób (nie w przypadku sudo, chmod ani niczego innego). Tylko sposobem jest majstrować z System Integrity Protection ustawieniami: rozruch w trybie awaryjnym i terminalu uruchomić. Sprawdź status SIP za pomocą csrutil status, powinien być ogólnie włączony. Wyłącz go za pomocą csrutil disablei uruchom ponownie w trybie normalnym, a następnie wprowadź zmiany w pliku plist, jak opisano powyżej. Po zakończeniu wróć do trybu odzyskiwania i ponownie włącz ochronę (z uzasadnionego powodu), wydając csrutil enable.

Objaśnienie: Można to sprawdzić, wydając ifconfigpolecenie, które 127.0.0.1jest już (domyślnym) aliasem dla localhost lo0 - ten fakt jest używany, aby uniknąć konieczności dodawania dodatkowego aliasu dla localhost i po prostu użyć domyślnego adresu w pf.confpliku.

AKTUALIZACJA: Niestety wydaje się, że ładowanie pliku przy uruchomieniu nie działa. Wciąż próbuję uzyskać pomoc w uporządkowaniu tego. Do tego czasu działa sudo pfctl -f /etc/pf.confpo uruchomieniu.

Działa to dla mnie dobrze:

• Włącz zaporę poprzez Preferencje systemowe
• Utwórz plik startowy ipfw zgodnie z opisem tutaj: https://serverfault.com/a/235124/94860

• Dodaj następujący wiersz do pliku startowego, jak opisano tutaj: http://xeiam.com/port-forwarding-80-to-8080-using-ipfw-on-mac-os-x/

  add 100 fwd 127.0.0.1,8080 tcp from any to any 80 in

Począwszy od 10.5, OS X jest wyposażony w nową zaporę zorientowaną na aplikację zamiast ipfw. Ale ipfw jest nadal zainstalowany. Jeśli masz problemy ze składnią, sprawdź nakładki graficzne, takie jak WaterRooflub Flying Buttress.

HTH, PEra

kolejność reguł jest ważna, upewnij się, że nie ma opcji „odmawiaj wszystkim” przed regułami zezwalania lub coś w tym rodzaju.

Wydaje się, że w poleceniu brakuje numeru reguły; próbować:

ipfw add 100 fwd 127.0.0.1,8000 tcp from any to 192.168.99.100 80

(jeśli nie działasz jako root, musisz poprzedzić go sudo). Kolejną rzeczą do sprawdzenia jest to, że zapora jest włączona:

sysctl net.inet.ip.fw.enable

Jeśli wróci z wartością 0 (wyłączone), włącz ją za pomocą:

sysctl -w sysctl net.inet.ip.fw.enable=1

... a następnie zadbaj o to, aby ponownie się włączał po ponownym uruchomieniu komputera. „Właściwym” sposobem na to jest prawdopodobnie stworzenie wystrzelonego przedmiotu ( Lingon sprawia, że ​​jest to dość łatwe). Lub po prostu użyj jednego z narzędzi GUI wspomnianych przez PEra i pozwól mu zadbać o szczegóły.