firewall под freeBSD народ помогите плиз

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-25 17:17:19

В общем ситуация такая есть 12 компов соединенных в локалку
Есть роутер с freeBSD
Теперь собственно в чем проблема,
В конфигурацию ядра добавил

Код: Выделить всё

options         MROUTING                # Multicast routing
options         PIM                     # Protocol Independent Multicast
options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_FORWARD      #enable transparent proxy support
options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default
options         IPV6FIREWALL            #firewall for IPv6
options         IPV6FIREWALL_VERBOSE
options         IPV6FIREWALL_VERBOSE_LIMIT=100
#options         IPV6FIREWALL_DEFAULT_TO_ACCEPT
options         IPDIVERT                #divert sockets
options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging
options         IPFILTER_DEFAULT_BLOCK  #block all packets by default
options         IPSTEALTH               #support for stealth forwarding
options         TCPDEBUG

далее дал

Код: Выделить всё

make depend
make
make install
reboot
в rc.conf есть записи

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/usr/local/billing/rc.firewall"
firewall настроен так

Код: Выделить всё

ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any via rl1
${ipfw} add 01280 allow all from any to 82.179.144.31 via rl1
${ipfw} add 65000 allow all from any to any
по умолчанию 65535 стоит deny ip from any to any


ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще

Что собственно мне надо от firewall'а это чтоб мона было отрубить инет на всех компах или наооборот врубить его

ЗЫ на всех компах кромероутера стоит MANDRIVA
Последний раз редактировалось Alex Keda 2007-10-25 23:49:43, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение squid » 2007-10-25 17:32:28

Код: Выделить всё

${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any
потом

Код: Выделить всё

tail -f /var/log/security
хех..

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение abanamat » 2007-10-25 18:36:11

hammer68 писал(а):ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще
внимание - великая сила.
перегрузиццо?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение Alex Keda » 2007-10-25 23:51:11

при таких запросах ватило бы файрвола из двух чтрок - нат и разрешающая.
Убей их всех! Бог потом рассортирует...

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-26 9:42:06

там видишь 31 нужно чтоб всегда работал а если есть 65000 правило то все всегда в сети и я немогу их обрубить не отрубая себя :(

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-26 9:43:14

внимание - великая сила.
перегрузиццо?
не помогает пробовал

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-26 9:44:38

я просто не могу понять почему без правила 65000 ниче не работает инета нет нигде ???

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение squid » 2007-10-26 9:47:52

squid писал(а):

Код: Выделить всё

${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any
потом

Код: Выделить всё

tail -f /var/log/security
сделай так и посмотришь что у тебя закрыто и почему не работает
хех..

yakuzzza
рядовой
Сообщения: 19
Зарегистрирован: 2007-10-27 22:09:33
Откуда: Сумы, Украина
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение yakuzzza » 2007-10-29 11:57:30

Код: Выделить всё

options         IPFILTER_DEFAULT_BLOCK  #block all packets by default
Опция блокирует все даже при разрешающем правиле в файрволле ipfw.

Надо сделать ядро без этой опции и добавить:

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT
Ну и из рюшек убрать поддержку IPv6 со всего ядра.

yakuzzza
рядовой
Сообщения: 19
Зарегистрирован: 2007-10-27 22:09:33
Откуда: Сумы, Украина
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение yakuzzza » 2007-10-29 12:01:23

Да и мой кусок одного из ядер, отвечающих за файрволл:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         IPFILTER
options         IPFILTER_LOG
options         IPSTEALTH
options         TCPDEBUG
options         MBUF_STRESS_TEST
options         ACCEPT_FILTER_DATA
options         ACCEPT_FILTER_HTTP
options         TCP_DROP_SYNFIN
options         DUMMYNET
options         BRIDGE

options         QUOTA

options         HZ=1000
options         DEVICE_POLLING

device          gre
device          if_bridge
device          pf
device          pflog
device          pfsync
device          carp
device          ppp

options         ALTQ
options         ALTQ_CBQ
options         ALTQ_RED
options         ALTQ_RIO
options         ALTQ_HFSC
options         ALTQ_CDNR
options         ALTQ_PRIQ
options         ALTQ_NOPCC
options         ALTQ_DEBUG

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-30 18:21:49

чето все равно ниче не получается убрал natd нафиг благо IP нормальные
как я понимаю теперь мой простейший firewall должен работать без правила 65000 или НЕТ ???????

Код: Выделить всё

ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any
${ipfw} add 01280 allow all from any to 82.179.144.31
${ipfw} add 65000 allow all from any to any
Последний раз редактировалось Alex Keda 2007-10-30 20:59:50, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Аватара пользователя
JamIr
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-10-02 12:26:29
Откуда: Moscow

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение JamIr » 2007-10-30 23:03:43

Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.

Гость
проходил мимо

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение Гость » 2007-10-31 15:10:14

JamIr писал(а):Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.

Код: Выделить всё

tidex-vlan# tail -f /var/log/security 
Oct 25 18:41:15 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:45924 64.12.28.64:5190 out via rl0
Oct 25 18:41:21 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:910 82.179.158.252:111 out via rl0
Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0
Oct 25 18:41:25 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:26 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 64.12.28.64:5190 82.179.144.31:45924 in via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:33 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0

tidex-vlan# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
        ether 00:e0:4c:39:28:bc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
        ether 00:e0:4c:39:2d:c2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000

если надо выложу все свое ядро и rc.conf
Последний раз редактировалось Alex Keda 2007-10-31 15:15:26, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-31 15:14:00

последний пост мой :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение Alex Keda » 2007-10-31 15:15:44

кнопочку коде юзай
Убей их всех! Бог потом рассортирует...

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-31 15:25:32

lissyara писал(а):кнопочку коде юзай
не врубился чет а если для простых смертных про чеэто

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение squid » 2007-10-31 15:35:26

какая из сетевух у тебя смотрит в инет ?
хех..

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-31 15:40:58

и еще пришлось вернуть natd обратно а то у нас сделано что домашние каталоги монтируются с кластера а без натда монтирования непроисходит :(

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-31 15:42:07

squid писал(а):какая из сетевух у тебя смотрит в инет ?
rl0 которая 249

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение squid » 2007-10-31 15:52:05

для начала нужно разрешить самому роутеру ходить в инет

Код: Выделить всё

Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0
правила примерно такого вида

Код: Выделить всё

${ipfw} add allow all from 82.179.158.249 to any
${ipfw} add allow all from any to 82.179.158.249 
походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8
хех..

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-10-31 16:33:16

squid писал(а): походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8
смысл айпишники статичные

Аватара пользователя
JamIr
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-10-02 12:26:29
Откуда: Moscow

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение JamIr » 2007-10-31 16:41:44

смысл айпишники статичные
такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение squid » 2007-10-31 16:48:25

без смысла
почитай RFC 3330
хех..

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-11-01 12:41:53

JamIr писал(а):
смысл айпишники статичные
такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?
да не внешний а статичный то есть мне натд не нужет при этом и из внешки я могу влесть на любой на прямую
ЗЫ незнаю правильно ли обеснил

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: firewall под freeBSD народ помогите плиз

Непрочитанное сообщение hammer68 » 2007-11-01 15:28:53

все теперь после разрешения роутеру ходить в инет :) все работает
Всем ОГРОМНОЕ спасибо ;)