firewall под freeBSD народ помогите плиз

[hammer68]

В общем ситуация такая есть 12 компов соединенных в локалку
Есть роутер с freeBSD
Теперь собственно в чем проблема,
В конфигурацию ядра добавил

Код: Выделить всё

options         MROUTING                # Multicast routing
options         PIM                     # Protocol Independent Multicast
options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_FORWARD      #enable transparent proxy support
options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default
options         IPV6FIREWALL            #firewall for IPv6
options         IPV6FIREWALL_VERBOSE
options         IPV6FIREWALL_VERBOSE_LIMIT=100
#options         IPV6FIREWALL_DEFAULT_TO_ACCEPT
options         IPDIVERT                #divert sockets
options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging
options         IPFILTER_DEFAULT_BLOCK  #block all packets by default
options         IPSTEALTH               #support for stealth forwarding
options         TCPDEBUG

далее дал

Код: Выделить всё

make depend
make
make install
reboot

в rc.conf есть записи

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/usr/local/billing/rc.firewall"

firewall настроен так

Код: Выделить всё

ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any via rl1
${ipfw} add 01280 allow all from any to 82.179.144.31 via rl1
${ipfw} add 65000 allow all from any to any

по умолчанию 65535 стоит deny ip from any to any


ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще

Что собственно мне надо от firewall'а это чтоб мона было отрубить инет на всех компах или наооборот врубить его

ЗЫ на всех компах кромероутера стоит MANDRIVA

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[squid]

Код: Выделить всё

${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any

потом

Код: Выделить всё

tail -f /var/log/security

[abanamat]

ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще

внимание - великая сила.
перегрузиццо?

[Alex Keda]

при таких запросах ватило бы файрвола из двух чтрок - нат и разрешающая.

[hammer68]

там видишь 31 нужно чтоб всегда работал а если есть 65000 правило то все всегда в сети и я немогу их обрубить не отрубая себя

[hammer68]

внимание - великая сила.
перегрузиццо?
не помогает пробовал

[hammer68]

я просто не могу понять почему без правила 65000 ниче не работает инета нет нигде ???

[squid]

Код: Выделить всё

${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any

потом

Код: Выделить всё

tail -f /var/log/security

сделай так и посмотришь что у тебя закрыто и почему не работает

[yakuzzza]

Код: Выделить всё

options         IPFILTER_DEFAULT_BLOCK  #block all packets by default

Опция блокирует все даже при разрешающем правиле в файрволле ipfw.

Надо сделать ядро без этой опции и добавить:

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT

Ну и из рюшек убрать поддержку IPv6 со всего ядра.

[yakuzzza]

Да и мой кусок одного из ядер, отвечающих за файрволл:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         IPFILTER
options         IPFILTER_LOG
options         IPSTEALTH
options         TCPDEBUG
options         MBUF_STRESS_TEST
options         ACCEPT_FILTER_DATA
options         ACCEPT_FILTER_HTTP
options         TCP_DROP_SYNFIN
options         DUMMYNET
options         BRIDGE

options         QUOTA

options         HZ=1000
options         DEVICE_POLLING

device          gre
device          if_bridge
device          pf
device          pflog
device          pfsync
device          carp
device          ppp

options         ALTQ
options         ALTQ_CBQ
options         ALTQ_RED
options         ALTQ_RIO
options         ALTQ_HFSC
options         ALTQ_CDNR
options         ALTQ_PRIQ
options         ALTQ_NOPCC
options         ALTQ_DEBUG

[hammer68]

чето все равно ниче не получается убрал natd нафиг благо IP нормальные
как я понимаю теперь мой простейший firewall должен работать без правила 65000 или НЕТ ???????

Код: Выделить всё

ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any
${ipfw} add 01280 allow all from any to 82.179.144.31
${ipfw} add 65000 allow all from any to any

[JamIr]

Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.

[Гость]

Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.

Код: Выделить всё

tidex-vlan# tail -f /var/log/security 
Oct 25 18:41:15 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:45924 64.12.28.64:5190 out via rl0
Oct 25 18:41:21 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:910 82.179.158.252:111 out via rl0
Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0
Oct 25 18:41:25 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:26 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 64.12.28.64:5190 82.179.144.31:45924 in via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:33 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0

tidex-vlan# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
        ether 00:e0:4c:39:28:bc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
        ether 00:e0:4c:39:2d:c2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000

если надо выложу все свое ядро и rc.conf

[hammer68]

последний пост мой

[Alex Keda]

кнопочку коде юзай

[hammer68]

кнопочку коде юзай

не врубился чет а если для простых смертных про чеэто

[squid]

какая из сетевух у тебя смотрит в инет ?

[hammer68]

и еще пришлось вернуть natd обратно а то у нас сделано что домашние каталоги монтируются с кластера а без натда монтирования непроисходит

[hammer68]

какая из сетевух у тебя смотрит в инет ?

rl0 которая 249

[squid]

для начала нужно разрешить самому роутеру ходить в инет

Код: Выделить всё

Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0

правила примерно такого вида

Код: Выделить всё

${ipfw} add allow all from 82.179.158.249 to any
${ipfw} add allow all from any to 82.179.158.249 

походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8

[hammer68]

походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8

смысл айпишники статичные

[JamIr]

смысл айпишники статичные

такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?

[squid]

без смысла
почитай RFC 3330

[hammer68]

смысл айпишники статичные

такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?

да не внешний а статичный то есть мне натд не нужет при этом и из внешки я могу влесть на любой на прямую
ЗЫ незнаю правильно ли обеснил

[hammer68]

все теперь после разрешения роутеру ходить в инет все работает
Всем ОГРОМНОЕ спасибо