BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: подскажите с конфигом ipfw
СообщениеДобавлено: Вт 07 окт, 2014 4:12 pm 
Не в сети

Зарегистрирован: Вс 20 янв, 2008 6:47 am
Сообщения: 1330
Классическая ситуация: машина с двумя сетевыми интерфейсами. Из локальной сети все машины должны иметь выход по портам tcp_ports_vnutr2vnesh и udp_ports_vnutr2vnesh.
Из интернет должны быть проброшены порты tcp_ports_vnesh2vnutr и udp_ports_vnesh2vnutr до машины в локальной сети с адресом 192.168.2.2.
Конфиг ipfw
Код:
#!/bin/sh
################ Start of IPFW rules file ###############################
ipfw -q -f flush
ipfw disable one_pass

cmd="ipfw -q add"
skip="skipto 800"
pif="ng0"     # public interface name of NIC
              # facing the public Internet

lif="em0"            # interfeis local'naj seti
lan="192.168.2.0/24" # local'naja set'

tcp_ports_vnutr2vnesh="80,443"
udp_ports_vnutr2vnesh="53,123"
tcp_ports_vnesh2vnutr="10474, 63274"
udp_ports_vnesh2vnutr="10474, 31637"

$cmd 010 allow all from any to any via lo0
#$cmd 011 allow all from any to any via $lif

$cmd 014 nat 123 ip from any to me in via $pif
$cmd 015 check-state

################################################################
$cmd 110 allow icmp from any to any via $lif keep-state

$cmd 125 allow tcp from any to any $tcp_ports_vnutr2vnesh in via $lif keep-state
$cmd 126 allow udp from any to any $udp_ports_vnutr2vnesh in via $lif keep-state
$cmd 199 deny log all from any to any in via $lif

$cmd 210 allow tcp from any to 192.168.2.2 $tcp_ports_vnesh2vnutr out via $lif keep-state
$cmd 211 allow udp from any to 192.168.2.2 $udp_ports_vnesh2vnutr out via $lif keep-state
$cmd 299 deny log all from any to any out via $lif

#################################################################
$cmd 310 $skip icmp from any to any out via $pif keep-state
$cmd 320 $skip tcp from any to any $tcp_ports_vnutr2vnesh out via $pif setup keep-state
$cmd 321 $skip udp from any to any $udp_ports_vnutr2vnesh out via $pif keep-state

$cmd 350 allow tcp from me to any 465,995 out via $pif setup keep-state
$cmd 399 deny log all from any to any out via $pif

$cmd 480 allow tcp from any to me 443 in via $pif setup limit src-addr 2
# TORRENT i eMule
$cmd 495 allow tcp from any to 192.168.2.2 $tcp_ports_vnesh2vnutr in via $pif
$cmd 497 allow udp from any to 192.168.2.2 $udp_ports_vnesh2vnutr in via $pif
$cmd 499 deny log all from any to any in via $pif

###################################################################
# This is skipto location for outbound stateful rules
$cmd 800 nat 123 ip from $lan to any out via $pif
$cmd 801 allow ip from any to any

# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 999 deny log all from any to any
################ End of IPFW rules file ###############################

Проблема - при данном конфиге из локальной сети ничего не пингуется. Но если снять комментарий с команды 011 - работает. В чём может быть дело? Почему блоки правил 100-299 не работают? Конфигурация NAT
Код:
ipfw -q nat 123 config if ng0 log same_ports reset \
        redirect_port tcp 192.168.2.2:10474 10474 \
        redirect_port udp 192.168.2.2:10474 10474 \
        redirect_port tcp 192.168.2.2:63274 63274 \
        redirect_port udp 192.168.2.2:31637 31637;


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: подскажите с конфигом ipfw
СообщениеДобавлено: Вт 17 мар, 2015 5:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 14 ноя, 2004 10:33 pm
Сообщения: 446
Насколько я помню в ipfw можно на конкретное правило повесить log.
В файле ты увидишь какие пакеты обрабатываются данным правилом, и уже сможешь переписать правило возможно в несколько правил.
Правила вида allow all from any to any даже для интерфейса который смотрит в локальную сеть, мне кажется не есть хорошо. Раз уж контролируешь трафик, то контролируй его на всех интерфейсах.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: подскажите с конфигом ipfw
СообщениеДобавлено: Ср 18 мар, 2015 2:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1130
Откуда: Kiev
Правильно написали, добавляйте log в блокирующие правила + смотреть Tcpdump'ом.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: подскажите с конфигом ipfw
СообщениеДобавлено: Чт 19 мар, 2015 5:05 pm 
Не в сети

Зарегистрирован: Вс 20 янв, 2008 6:47 am
Сообщения: 1330
правило фильтрации 011 оставил включенным.
если есть аналогичный конфиг, но с дополнительной фильтрацией на локальном интерфейсе - поделитесь


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: подскажите с конфигом ipfw
СообщениеДобавлено: Чт 19 мар, 2015 9:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 14 ноя, 2004 10:33 pm
Сообщения: 446
michael_is_98 писал(а):
правило фильтрации 011 оставил включенным.
если есть аналогичный конфиг, но с дополнительной фильтрацией на локальном интерфейсе - поделитесь

Для начала все таки посмотри какие пакеты попадаются под это правило.
Я думаю сразу поймешь, какие правила надо переписать.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: подскажите с конфигом ipfw
СообщениеДобавлено: Пт 20 мар, 2015 12:28 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
michael_is_98
Код:
$cmd 11 allow log logamount 1000 all from any to any via $lif
1000 строк добавит и остановится, если нужно больше то измени на нужное число, если 0 - то без ограничений.
смотреть лог удобно в реалтайм как tail -f /var/log/security


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика