iptables equivalente para mac os x

Quero encaminhar solicitações de 192.168.99.100:80para 127.0.0.1:8000. É assim que eu faria no linux usando iptables:

iptables -t nat -A OUTPUT -p tcp --dport 80 -d 192.168.99.100 -j DNAT --to-destination 127.0.0.1:8000

Como faço a mesma coisa no MacOS X? Eu tentei uma combinação de ipfwcomandos sem muito sucesso:

ipfw add fwd 127.0.0.1,8000 tcp from any to 192.168.99.100 80

(Para mim, o sucesso é apontar um navegador http://192.168.99.100e obter uma resposta de um servidor de desenvolvimento em que estou executando localhost:8000)

Então eu descobri uma maneira de fazer isso. Não tenho certeza se é a maneira preferida, mas funciona! No seu shell favorito:

sudo ifconfig lo0 10.0.0.1 alias
sudo ipfw add fwd 127.0.0.1,9090 tcp from me to 10.0.0.1 dst-port 80

(O apelido para lo0parece ser a parte que falta)

Se você deseja que um domínio (falso) aponte para esse novo alias, verifique se o / etc / hosts contém a linha:

10.0.0.1 www.your-domain.com

Consegui fazer isso funcionar usando os comandos ifconfige pfctlno Mac 10.10.2. Com a abordagem a seguir, estou mapeando 127.0.0.1:3000com sucesso mydomain.comlocalmente na minha máquina.

Em sua linha de comando digite os dois comandos a seguir para encaminhar ligações para 127.0.0.1:3000a 10.0.0.1:

sudo ifconfig lo0 10.0.0.1 alias
echo "rdr pass on lo0 inet proto tcp from any to 10.0.0.1 port 80 -> 127.0.0.1 port 3000" | sudo pfctl -ef -

Em seguida, edite seu arquivo /etc/hostsou /private/etc/hostse adicione a seguinte linha para mapear seu domínio 10.0.0.1.

10.0.0.1 mydomain.com

Depois de salvar o arquivo hosts, limpe o DNS local:

sudo discoveryutil udnsflushcaches

Agora abra mydomain.comem um navegador e você verá o servidor hospedado na porta do host local (ou seja 127.0.0.1:3000). Basicamente, esse processo mapeia um <ip>:<port>para um novo, <ip>para que você possa mapear um host com esse IP.

Eu também tive que fazer uma coisa semelhante recentemente, e na busca encontrei esta resposta. Infelizmente, a resposta dos usos do Nafe, ipfwque agora está obsoleta e indisponível no OSX; e a resposta de Kevin Leary é realmente um pouco tola. Então eu tive que fazer algo melhor (mais limpo) e decidi compartilhá-lo aqui para a posteridade. Esta resposta é amplamente baseada na abordagem mencionada nesta essência .

Como o OP menciona, apontar um navegador para 192.168.99.100 deve obter uma resposta de um servidor em localhost: 8000. Adicionar um alias a ifconfignão é realmente necessário, por pfctlsi só é suficiente: para conseguir isso, o pf.confarquivo /etc/pf.confprecisa ser modificado.

Primeiro criamos (com sudo) um novo arquivo de âncora (vamos chamá-lo redirection) em: /etc/pf.anchors/redirection. Este é basicamente um arquivo de texto regular e contém a seguinte linha (assim como na resposta de Kevin Leary): rdr pass on lo0 inet proto tcp from any to 192.168.99.100 port = 80 -> 127.0.0.1 port 8000. Depois que o novo arquivo âncora for criado, ele precisará ser referenciado dentro do pf.confarquivo. Abra o pf.confarquivo com sudo e adicione rdr-anchor "redirection"após a última linha rdr-anchor (que é rdr-anchor "com.apple/*") e adicione load anchor "redirection" from "/etc/pf.anchors/redirection"no final.

Por fim, é assim que o arquivo pf.conf deve se parecer:

scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "com.apple/*"
rdr-anchor "redirection"  #added for redirection/port forwarding
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"
load anchor "pow" from "/etc/pf.anchors/redirection"  #added for redirection/port forwarding

E é quase isso. Basta reiniciar pfctlemitindo sudo pfctl -dpara desativá-lo primeiro e depois sudo pfctl -fe /etc/pf.confiniciá-lo novamente.

Agora, se você precisar que isso aconteça automaticamente após cada reinicialização, outro pequeno trabalho precisará ser feito: o daemon de inicialização pfctlprecisa ser atualizado (a essência referenciada menciona que o pf é ativado automaticamente na inicialização, no entanto, isso não parece ser caso de olhar para o código). Abra (com sudo) System/Library/LaunchDaemons/com.apple.pfctl.pliste procure o seguinte:

<array>
          <string>pfctl</string>
          <string>-f</string>
          <string>/etc/pf.conf</string>
</array>

e adicione a linha <string>-e</string>para torná-lo assim:

<array>
         <string>pfctl</string>
         <string>-e</string>
         <string>-f</string>
         <string>/etc/pf.conf</string>
</array>

Isso deve resolver.

Advertência : A Apple não permite mais alterar os arquivos demon de inicialização assim (não com sudo, nem chmod, nem qualquer outra coisa). A única maneira é mexer com as configurações da Proteção de integridade do sistema : inicialize no modo de recuperação e inicie o terminal. Verifique o status do SIP com csrutil status, geralmente ele deve estar ativado. Desative-o csrutil disablee reinicie-o no modo normal e faça as alterações no arquivo plist conforme discutido acima. Depois de concluído, volte ao modo de recuperação e reative a proteção (está em vigor por um bom motivo) emitindo csrutil enable.

Explicação: Pode-se verificar emitindo o ifconfigcomando que 127.0.0.1já é o alias (padrão) para localhost lo0 - esse fato está sendo usado para evitar a necessidade de adicionar um alias extra para localhost e simplesmente usar o endereço padrão no pf.confarquivo.

ATUALIZAÇÃO: Infelizmente, parece que carregar o arquivo na inicialização não funciona. Ainda estou tentando obter ajuda para classificá-lo. Até lá, correr sudo pfctl -f /etc/pf.confdepois de iniciar faz o truque.

Isto funcionou bem para mim:

• Ativar firewall via Preferências do sistema
• Crie o arquivo de inicialização do ipfw conforme descrito aqui: https://serverfault.com/a/235124/94860

• Adicione a seguinte linha ao arquivo de inicialização, conforme descrito aqui: http://xeiam.com/port-forwarding-80-to-8080-using-ipfw-on-mac-os-x/

  add 100 fwd 127.0.0.1,8080 tcp from any to any 80 in

A partir da 10.5, o OS X vem com um novo firewall orientado a aplicativos em vez de ipfw. Mas o ipfw ainda está instalado. Se você tiver problemas com sua sintaxe, consulte frontends gráficos como WaterRoofou Flying Buttress.

HTH, PEra

a ordem das regras é importante, verifique se não há "negar tudo" antes das regras de permissão ou algo assim.

Parece que seu comando está faltando um número de regra; experimentar:

ipfw add 100 fwd 127.0.0.1,8000 tcp from any to 192.168.99.100 80

(se você não estiver executando como root, precisará prefixá-lo com sudo). Outra coisa a verificar é se o firewall está ativado:

sysctl net.inet.ip.fw.enable

Se retornar com o valor 0 (desativado), ative-o com:

sysctl -w sysctl net.inet.ip.fw.enable=1

... e, em seguida, solicite a reativação quando o computador reiniciar. A maneira "correta" de fazer isso é provavelmente criar um item launchd (o Lingon facilita bastante isso). Ou apenas use uma das ferramentas GUI mencionadas no PEra e deixe que ele cuide dos detalhes.