Firewall

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Firewall

Непрочитанное сообщение dikens3 » 2007-03-21 18:27:51

Файрвол к моей статье, обсуждение приветствуется:
ipfw –ad list

Код: Выделить всё

00100   104    15612 allow ip from any to any via lo0
00200   368    37536 skipto 5000 ip from any to me in via rl0
00300   241    55647 allow udp from 192.168.1.0/24 137,138 to 192.168.1.255 in via rl0
00400   555    76072 skipto 6000 ip from me to any out via rl0
00500 13987 18504984 skipto 7000 ip from any to me in via ed0
00600 23296  6215245 skipto 8000 ip from me to any out
00700 13641   925554 skipto 10000 ip from any to me in via tun*
00800  2297   113085 skipto 13000 ip from any to any in via tun*
00900  4083  4689992 skipto 11000 ip from any to any in via rl0
01000   475   108864 allow ip from any to any out recv ed0 xmit rl0
01100  2297   113085 allow ip from any to any out recv tun* xmit rl0
01200  4083  4689992 skipto 12000 ip from any to any out
01300    94     3384 deny log logamount 300 ip from any to any
05000   119    14790 allow tcp from 192.168.1.0/24 to me in via rl0 established
05100    17      816 allow tcp from 192.168.1.0/24 to me dst-port 22,80,139,445 in via rl0 setup
05200   232    21930 allow udp from 192.168.1.0/24 to me dst-port 123,137,138 in via rl0
05300     0        0 allow icmp from 192.168.1.0/24 to me in via rl0 icmptypes 0,8
05400     0        0 deny log logamount 300 ip from any to any
06000   138    11453 allow tcp from me to 192.168.1.0/24 out via rl0 established
06100   417    64619 allow udp from me 123,137,138 to any out via rl0
06200     0        0 allow icmp from me to 192.168.1.0/24 out via rl0 icmptypes 0,8,11
06300     0        0 deny log logamount 300 ip from any to any
07000 13987 18504984 divert 8668 ip from any to any in via ed0
07100 13541 18461931 allow tcp from any to any in via ed0 established
07200    62     6448 allow icmp from any to any in via ed0 icmptypes 0,3,11
07300     0        0 allow udp from any 4000 to 192.168.1.0/24{1-254} in via ed0
07400    64    12611 allow udp from 195.122.226.2,10.240.240.240 53 to any in via ed0
07500   302    22952 allow udp from 62.117.76.139,195.230.70.112,194.149.67.130,131.216.22.17,216.32.94.18,216.204.156.2 123 to me dst-port 123 in via ed0
07600     0        0 deny log logamount 300 ip from any to any
08000    12      925 fwd 213.177.127.118 tcp from me 80,2812 to any out established
08100 15539  5756042 fwd 213.177.127.118 tcp from me 22 to IP1,IP2 out established
08200     0        0 fwd 213.177.127.118 tcp from me to any dst-port 22 out
08300     0        0 fwd 213.177.127.118 icmp from me to IP1,IP2 out icmptypes 0
08400     0        0 fwd 213.177.127.118 udp from me to 213.177.96.1,213.177.97.1 dst-port 53 out
08500     0        0 fwd 213.177.127.118 icmp from me to 213.177.96.1,213.177.97.1 out icmptypes 8
08600  7745   458278 divert 8668 ip from any to any out
08700  7316   426169 fwd 10.17.127.254 tcp from me to any out
08800     0        0 fwd 10.17.127.254 icmp from me to any out
08900     0        0 fwd 10.17.127.254 udp from me to any dst-port 33435-33524 out
09000   373    28348 fwd 10.17.127.254 udp from me 123 to 62.117.76.139,195.230.70.112,194.149.67.130,131.216.22.17,216.32.94.18,216.204.156.2 dst-port 123 out
09100    56     3761 fwd 10.17.127.254 udp from me to 195.122.226.2,10.240.240.240 dst-port 53 out
09200     0        0 deny log logamount 300 ip from any to any
10000 12997   801579 allow tcp from any to me in via tun* established
10100     2       96 allow tcp from IP1,IP2 to me dst-port 22,2812 in via tun* setup
10200     0        0 allow icmp from IP1,IP2 to me in via tun* icmptypes 8
10300     0        0 allow icmp from 213.177.96.1,213.177.97.1 to me in via tun* icmptypes 0
10400     0        0 allow udp from 213.177.96.1,213.177.97.1 53 to me in via tun*
10500     0        0 deny log logamount 300 ip from table(1) to me in via tun*
10600     4      224 allow tcp from any to me dst-port 80 in via tun* setup
10700   638   123655 deny log logamount 300 ip from any to any
11000     0        0 deny log logamount 300 ip from not 192.168.1.0/24{1-254} to any in via rl0
11100  4083  4689992 allow ip from 192.168.1.0/24 to any in via rl0
11200     0        0 deny log logamount 300 ip from any to any
12000     0        0 deny log logamount 300 ip from not 192.168.1.0/24{1-254} to any out
12100  3627  4658936 fwd 213.177.127.118 tcp from 192.168.1.0/24 6666 to any out established
12200     0        0 fwd 213.177.127.118 udp from 192.168.1.0/24 to 213.177.96.1,213.177.97.1 dst-port 53 out
12300     0        0 fwd 213.177.127.118 icmp from 192.168.1.0/24 to 213.177.96.1,213.177.97.1 out icmptypes 8
12400   456    31056 divert 8668 ip from any to any out recv rl0
12500   456    31056 fwd 10.17.127.254 ip from me to any out recv rl0
12600     0        0 deny log logamount 300 ip from any to any
13000  2297   113085 allow tcp from any to 192.168.1.0/24 dst-port 6666 in via tun*
13100     0        0 allow udp from 213.177.96.1,213.177.97.1 53 to 192.168.1.0/24 in via tun*
13200     0        0 allow icmp from 213.177.96.1,213.177.97.1 to 192.168.1.0/24 in via tun* icmptypes 0
13300     0        0 deny log logamount 300 ip from any to any
65535    48     3184 deny ip from any to any

Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
smilealex
мл. сержант
Сообщения: 105
Зарегистрирован: 2007-06-20 20:34:31
Откуда: SAMARA
Контактная информация:

Re: Firewall

Непрочитанное сообщение smilealex » 2007-09-28 16:04:49

а можно подробней про:

/etc/natd.cf
#unregistered_only yes


а то man )) какой-то невкуряемый))
Слава Богу за всё!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Firewall

Непрочитанное сообщение dikens3 » 2007-09-28 16:59:21

При установленной unregistered_only yes под нат попадают только исходящие пакеты, идущие с IP-Адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. (Входящие все)

А вот без неё, абсолютно все. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Caparzo
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-15 14:43:39

Re: Firewall

Непрочитанное сообщение Caparzo » 2008-10-15 15:36:02

1. Почему если модем находится в режиме моста, в rc.conf ему наделён IP?
2. Удобнее использовать ppp_nat, чем ipnat или natd (в ситуации с RAdmin)?
3. Не знал, что так можно: users="192.168.1.0{1-254}"...
4. Поясните пожалуйста к чему этот блок:

Код: Выделить всё

#!/bin/sh -
testgwvt=$(/sbin/ifconfig | grep "inet 195.28.84.160" | awk '{print $4}')
if (test $testgwvt)
    then
#       Есть соединение с Волга-Телеком, выдираем Gateway
    gwvt=$testgwvt
    else
#       Нет соединения с Волга-Телеком, присваиваем какой-нибудь IP-Адрес
    gwvt="213.177.127.16"
fi
5. Частое использование ключевого слова me в правилах, где явно указан интерфейс. То бишь нагружаете систему на дополнительное высчитывание текущего IP.
6.

Жаль что я эту статейку прочитал год спустя. Сразу вообще не мог понять, для чего были изначально использованы переходы через skipto. Когда нарисовал ручкой на бумаге всю схему взаимодействия с ISP1 (Волга-Телеком) и ISP2 (Sandy) тогда понял логику и упорядоченность входящего и исходящего трафика обработанного правилами. Что-то напомнило модульное программирование, за которым я скучал при переходе к ООП.

Хотелось бы поднять эту тему на поверхность и разобрать её по косточкам.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Firewall

Непрочитанное сообщение dikens3 » 2008-10-15 15:50:17

Caparzo писал(а):1. Почему если модем находится в режиме моста, в rc.conf ему наделён IP?
При подключении PPPoE необязательно присваивать IP интерфейсу, если вы об этом. Оно работе не мешает, если есть IP.
А вообще у меня раньше модем (DLINK) имел свойство подвешивать соединение и приходилось его перезагружать, для этого с помощью CURL мной был написан скрипт который перезапускал модем.
Caparzo писал(а):2. Удобнее использовать ppp_nat, чем ipnat или natd (в ситуации с RAdmin)?
ppp_nat действительно удобнее. Разве я против? У меня где есть PPP, есть ppp_nat.
Caparzo писал(а):3. Не знал, что так можно: users="192.168.1.0{1-254}"...
Это спасибо типа?
Caparzo писал(а):4. Поясните пожалуйста к чему этот блок:

Код: Выделить всё

#!/bin/sh -
testgwvt=$(/sbin/ifconfig | grep "inet 195.28.84.160" | awk '{print $4}')
if (test $testgwvt)
    then
#       Есть соединение с Волга-Телеком, выдираем Gateway
    gwvt=$testgwvt
    else
#       Нет соединения с Волга-Телеком, присваиваем какой-нибудь IP-Адрес
    gwvt="213.177.127.16"
fi
В конструкции fwd обязательно должен быть указан адрес шлюза, а он при разрыве PPPoE соединения изменяется. Вот и пришлось изголяться. Если соединения ещё нет (как на этапе загрузки) тогда присваиваем какой-нибудь, всё равно работать не будет.
5. Частое использование ключевого слова me в правилах, где явно указан интерфейс. То бишь нагружаете систему на дополнительное высчитывание текущего IP.
Часто об этом читаю, но откуда вы это берёте, где самому почитать?
Вообще на данном компьютере работает 1-2 человека и скорость вычислений не особенно нужна.

Caparzo писал(а):6.

Жаль что я эту статейку прочитал год спустя. Сразу вообще не мог понять, для чего были изначально использованы переходы через skipto. Когда нарисовал ручкой на бумаге всю схему взаимодействия с ISP1 (Волга-Телеком) и ISP2 (Sandy) тогда понял логику и упорядоченность входящего и исходящего трафика обработанного правилами. Что-то напомнило модульное программирование, за которым я скучал при переходе к ООП.

Хотелось бы поднять эту тему на поверхность и разобрать её по косточкам.
К сожалению мой друг отказался от услуг Волга-Телеком и теперь эта конструкция не работает. Тем самым всё только на сайте.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Caparzo
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-15 14:43:39

Re: Firewall

Непрочитанное сообщение Caparzo » 2008-10-20 16:59:59

Caparzo писал(а):4. Поясните пожалуйста к чему этот блок:

Код: Выделить всё

#!/bin/sh -
testgwvt=$(/sbin/ifconfig | grep "inet 195.28.84.160" | awk '{print $4}')
if (test $testgwvt)
    then
#       Есть соединение с Волга-Телеком, выдираем Gateway
    gwvt=$testgwvt
    else
#       Нет соединения с Волга-Телеком, присваиваем какой-нибудь IP-Адрес
    gwvt="213.177.127.16"
fi
В конструкции fwd обязательно должен быть указан адрес шлюза, а он при разрыве PPPoE соединения изменяется. Вот и пришлось изголяться. Если соединения ещё нет (как на этапе загрузки) тогда присваиваем какой-нибудь, всё равно работать не будет.
Ещё раз обращусь за пояснением. О каком шлюзе идёт речь? Как я понимаю в момент соединения с ADSL оборудование происходит инкапсуляция IP фрэймов в пакеты. Для этого хосту назначается IP, который смотрит на конкретный сервак. К примеру у меня, в ipfconig интерфейс tun* выглядит так:

Код: Выделить всё

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 77.235.108.42 --> 217.19.214.5 netmask 0xffffffff
        Opened by PID 468
То бишь, 77.235.108.42 - IP хоста, 217.19.214.5 - IP сервера. При разрыве соединения ip меняются, в случае если не заказана статика. О каком шлюзе идёт речь?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Firewall

Непрочитанное сообщение dikens3 » 2008-10-20 19:50:19

О каком шлюзе идёт речь?
Вот об этом:
Для этого хосту назначается IP, который смотрит на конкретный сервак.
То бишь, 77.235.108.42 - IP хоста, 217.19.214.5 - IP сервера. При разрыве соединения ip меняются, в случае если не заказана статика. О каком шлюзе идёт речь?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

LeXX Monoceros
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-11-27 18:24:25

Re: Firewall

Непрочитанное сообщение LeXX Monoceros » 2009-01-30 21:40:08

Подскажите, пожалуйста:
У меня такая же ситуация, но оба провайдера безлимитные. У которого белый ip (PPPoE) скорость ниже. У которого серый - на много выше, но умирает на много чаще (он заметно дешевле поэтому простительно :) ).

Когда оба провайдера живы, то один порт (например ssh,radmin) отправлять через PPPoE,а остальное через нестабильного. При умирании нестабильного всё отправлять на PPPoE и восстанавливать маршруты при поднятии нестабильного.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Firewall

Непрочитанное сообщение dikens3 » 2009-02-02 17:25:57

Если у Вас оба провайдера белые и т.п. Просто повесьте SSHD на * (все интерфейсы) и регулируйте правилами ipfw доступ к ssh.

Тоже и про Radmin (почитайте как повесить на разные порты, если это возможно), прокидывайте весь Radmin трафик на определённые порты на внутренний комп от обоих провайдеров.

Т.е. на компьютере внутри сети будет 2-а RAdmin'а (WinVNC и т.п.) на разных портах для разных провайдеров и не нужно ничего придумывать.

Схема:
Провайдер1->Шлюз:Порт_Radmin->Radmin в локалке
Провайдер2->Шлюз:Порт_WinVNC->WinVNC в локалке
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Devil070707
проходил мимо

Re: Firewall

Непрочитанное сообщение Devil070707 » 2011-10-13 20:45:41

Подскажите пожалуйста где находяться Медиа порт 09000, Командный порт 08000 и как их открыть?!За ранее спасиобо!