Firewall
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Firewall
Начал делать фаир. Как на сайте "Штатный фаирволл"
Нечего не получилось. В результате пришел к следующему конфигу который меня вообще не устраивает.
Надо добиться следующего:
Есть интерфейс A который подключен к провайдеру rl0( )
rc.conf
defaultrouter="212.56.205.193"
gateway_enable="YES"
ifconfig_rl0="inet 212.56.205.194 netmask 255.255.255.252"
rc.firewall
LanOut0="rl0"
NetOut0="212.56.205.192/30"
IpOut0="212.56.205.194"
Есть интерфейс B. Сеть из 16 реальных IP для серверов.
rc.conf
ifconfig_vr0="inet 212.56.205.177 netmask 255.255.255.240"
rc.firewall
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
Есть внутренние сети C,D
rc.conf
ifconfig_rl2="inet 172.16.2.254 netmask 255.255.255.0"
ifconfig_rl3="inet 172.16.3.254 netmask 255.255.255.0"
rc.firewall
LanIn2="rl2"
NetIn2="172.16.2.0/24"
LanIn3="rl3"
NetIn3="172.16.3.0/24"
Задача:
Сети C и D должны ходить в интернет через нат используя интерфейс B и чтоб с наружи был виден IP 212.56.205.177.
Сеть реальных IP должна ходить в интернет сама по себе (без ната и т.д.)
----------------------------------
В чем проблема у меня вот мой конфиг, который надо переделать но ума не приложу как.
/etc/rc.firewall
#!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
LanOut0="rl0"
NetOut0="212.56.205.192/30"
IpOut0="212.56.205.194"
LanIn2="rl2"
NetIn2="172.16.2.0/24"
LanIn3="rl3"
NetIn3="172.16.3.0/24"
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} add divert natd all from any to any via ${LanOut0}
#${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0}
${FwCMD} add allow all from any to any
-----------------
/etc/rc.conf
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u"
----------------------
Если я использую ${FwCMD} add divert natd all from any to any via ${LanOut0} нат работает, но естественно через интерфейс А "212.56.205.194. Натятся все сетки и реальные тоже.
natd_flags="-m -u" флаг -u не работает почему-то.
Если я в rc.conf ставлю natd_interface="vr0" и использую тоже правило только ${LanOut0} меняю на
${LanOut}. ${FwCMD} add divert natd all from any to any via ${LanOut} - не работает ничего. ТЕ. в интернет никто попасть из сетей не может.
Если я использую natd_interface="rl0", но пишу в фаире #${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0} - нат для сети LanIn3="rl3" NetIn3="172.16.3.0/24" не работает.
Если я использую natd_interface="vr0", и пишу в фаире #${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0} - нат для сети LanIn3="rl3" NetIn3="172.16.3.0/24" также не пашет.
Я бы хотел сделать в фаирволе правила нат для каждой из внутрених сетей. ТК. Будет ещё один интерфейс к провайдеру, для местного траффика. И одна из сетей должна будет на него переехать.
Но это уже другая пестня, когда доберусь до этого буду спрашивать если не получится.
Скажите, что я не так делаю? ОС FreeBSD 6.2 В ядро вкомпилил всё что надо.
Заранее спасибо. При встрече - ставлю ПИВО!
Нечего не получилось. В результате пришел к следующему конфигу который меня вообще не устраивает.
Надо добиться следующего:
Есть интерфейс A который подключен к провайдеру rl0( )
rc.conf
defaultrouter="212.56.205.193"
gateway_enable="YES"
ifconfig_rl0="inet 212.56.205.194 netmask 255.255.255.252"
rc.firewall
LanOut0="rl0"
NetOut0="212.56.205.192/30"
IpOut0="212.56.205.194"
Есть интерфейс B. Сеть из 16 реальных IP для серверов.
rc.conf
ifconfig_vr0="inet 212.56.205.177 netmask 255.255.255.240"
rc.firewall
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
Есть внутренние сети C,D
rc.conf
ifconfig_rl2="inet 172.16.2.254 netmask 255.255.255.0"
ifconfig_rl3="inet 172.16.3.254 netmask 255.255.255.0"
rc.firewall
LanIn2="rl2"
NetIn2="172.16.2.0/24"
LanIn3="rl3"
NetIn3="172.16.3.0/24"
Задача:
Сети C и D должны ходить в интернет через нат используя интерфейс B и чтоб с наружи был виден IP 212.56.205.177.
Сеть реальных IP должна ходить в интернет сама по себе (без ната и т.д.)
----------------------------------
В чем проблема у меня вот мой конфиг, который надо переделать но ума не приложу как.
/etc/rc.firewall
#!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
LanOut0="rl0"
NetOut0="212.56.205.192/30"
IpOut0="212.56.205.194"
LanIn2="rl2"
NetIn2="172.16.2.0/24"
LanIn3="rl3"
NetIn3="172.16.3.0/24"
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} add divert natd all from any to any via ${LanOut0}
#${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0}
${FwCMD} add allow all from any to any
-----------------
/etc/rc.conf
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u"
----------------------
Если я использую ${FwCMD} add divert natd all from any to any via ${LanOut0} нат работает, но естественно через интерфейс А "212.56.205.194. Натятся все сетки и реальные тоже.
natd_flags="-m -u" флаг -u не работает почему-то.
Если я в rc.conf ставлю natd_interface="vr0" и использую тоже правило только ${LanOut0} меняю на
${LanOut}. ${FwCMD} add divert natd all from any to any via ${LanOut} - не работает ничего. ТЕ. в интернет никто попасть из сетей не может.
Если я использую natd_interface="rl0", но пишу в фаире #${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0} - нат для сети LanIn3="rl3" NetIn3="172.16.3.0/24" не работает.
Если я использую natd_interface="vr0", и пишу в фаире #${FwCMD} add divert natd all from ${LanIn3} to any via ${LanOut0} - нат для сети LanIn3="rl3" NetIn3="172.16.3.0/24" также не пашет.
Я бы хотел сделать в фаирволе правила нат для каждой из внутрених сетей. ТК. Будет ещё один интерфейс к провайдеру, для местного траффика. И одна из сетей должна будет на него переехать.
Но это уже другая пестня, когда доберусь до этого буду спрашивать если не получится.
Скажите, что я не так делаю? ОС FreeBSD 6.2 В ядро вкомпилил всё что надо.
Заранее спасибо. При встрече - ставлю ПИВО!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Я так полагаю что провайдер у тебя 1, но интернет подключений 2?
Одно для серверов, другое для твоих сетей?
Если так, тогда нужно понять что такое маршрутизация. Я писал статью. Почитай про fwd.
Если же у тебя IP-Роутинг настроен, то сказать нужно бы. :-)
Одно для серверов, другое для твоих сетей?
Если так, тогда нужно понять что такое маршрутизация. Я писал статью. Почитай про fwd.
Если же у тебя IP-Роутинг настроен, то сказать нужно бы. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
Зачем же натить все подряд? Пропиши нат для внутренней сетки:
А для реальных сервантов просто пропиши разрешающие правила для того что там вертится....
Код: Выделить всё
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from 192.168.2.0/24 to any out via rl0
${FwCMD} add divert natd ip from 192.168.3.0/24 to any out via rl0
${FwCMD} add divert natd ip from any to 212.56.205.194 in via rl0
Код: Выделить всё
# разрешаем ftp снаружи (оба правила - для пасивного режима):
${FwCMD} add allow tcp from any to 212.56.205.177/28 21
${FwCMD} add allow tcp from any to 212.56.205.177/28 40000-65534
Власть в руках у чужаков, и ты им платишь дань...
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
1 провайдер 1 канал. Будет другой
"Но это уже другая пестня, когда доберусь до этого буду спрашивать если не получится."
Статью читал. Но до неё ещё рано.
Мне с моим натом бы, чтоб реальная сеть бегала НЕ через нат. А сетки внутренние через нат IP !!!! НЕ !!!! тот что на внешнем интерфейсе к прову (212.56.205.194), а через ту сеть которую он на меня рутит ТЕ на рутере есть сетевуха с 212.56.205.177.
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
Если не трудно, помогите. Какой нинить простенький рабочий конфиг. Я уже весь мозг себе сломал. ХЗ почему не работает. Постарался подробней всё описать, чтоб не возникло странных вопросов.
"Но это уже другая пестня, когда доберусь до этого буду спрашивать если не получится."
Статью читал. Но до неё ещё рано.
Мне с моим натом бы, чтоб реальная сеть бегала НЕ через нат. А сетки внутренние через нат IP !!!! НЕ !!!! тот что на внешнем интерфейсе к прову (212.56.205.194), а через ту сеть которую он на меня рутит ТЕ на рутере есть сетевуха с 212.56.205.177.
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
Если не трудно, помогите. Какой нинить простенький рабочий конфиг. Я уже весь мозг себе сломал. ХЗ почему не работает. Постарался подробней всё описать, чтоб не возникло странных вопросов.
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
Первое попробую, не понимаю смысл этого ${FwCMD} add divert natd ip from any to 212.56.205.194 in via rl0. Как в контексте звучит?Urgor писал(а):Зачем же натить все подряд? Пропиши нат для внутренней сетки:А для реальных сервантов просто пропиши разрешающие правила для того что там вертится....Код: Выделить всё
# пропускаем траффик через трансляцию сетевых адресов (NAT) ${FwCMD} add divert natd ip from 192.168.2.0/24 to any out via rl0 ${FwCMD} add divert natd ip from 192.168.3.0/24 to any out via rl0 ${FwCMD} add divert natd ip from any to 212.56.205.194 in via rl0
Код: Выделить всё
# разрешаем ftp снаружи (оба правила - для пасивного режима): ${FwCMD} add allow tcp from any to 212.56.205.177/28 21 ${FwCMD} add allow tcp from any to 212.56.205.177/28 40000-65534
а реальники фаирволится не должны вообще. Некоторые из них как рутеры выступать будут. Мне на них как на вход, так и на выход полный сетевой доступ. Без запретов.
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
ТЕ на рутере есть сетевуха с 212.56.205.177.
LanOut="vr0"
NetOut="212.56.205.176/28"
IpOut="212.56.205.177"
Я что-то не пойму, через что у тя инет заведен от прова?Есть интерфейс A который подключен к провайдеру rl0( )
rc.conf
defaultrouter="212.56.205.193"
gateway_enable="YES"
ifconfig_rl0="inet 212.56.205.194 netmask 255.255.255.252"
Власть в руках у чужаков, и ты им платишь дань...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Тоже прикалолся? :-)
Хочу заметить что Default маршрут тоже один. :-)
reshekpc
Рассказывай как инет настроил и что тут за фигня. Вобщем что сам знаешь и как это у тебя работает. :-)
Интерфейсы понятно, но как через одно подключение в 2-а разных интерфейса приходят данные, причём на разные IP?
Хочу заметить что Default маршрут тоже один. :-)
reshekpc
Рассказывай как инет настроил и что тут за фигня. Вобщем что сам знаешь и как это у тебя работает. :-)
Интерфейсы понятно, но как через одно подключение в 2-а разных интерфейса приходят данные, причём на разные IP?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
Итак, всё по порядку....dikens3 писал(а):Тоже прикалолся? :-)
Хочу заметить что Default маршрут тоже один. :-)
reshekpc
Рассказывай как инет настроил и что тут за фигня. Вобщем что сам знаешь и как это у тебя работает. :-)
Интерфейсы понятно, но как через одно подключение в 2-а разных интерфейса приходят данные, причём на разные IP?
1) Пришел провайдер и поставил модем
2) Воткнул кабель в ноутбук(ВИНДОВС) и прописал на нем IP: 212.56.205.194 Netmask 255.255.255.252 Gateway 212.56.205.193 DNS: 195.22.225.11
3) ping mail.ru - О счастье! Пингуется!
4) Пишет мне на бумаге эти параметры и говорит. на IP 212.56.205.194 рутится ваша сеть из 16 IP: 212.56.205.176/28
5) Ну я ему и говорю, типа спасибо, типа до свидания.
6) Втыкаю провод в свою фрю и прописываю на ней rl0(причём без вые№;нов netconfig-ом):
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 212.56.205.194 netmask 0xfffffffc broadcast 212.56.205.195
ether 00:40:f4:6f:94:44
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
соответственно в rc.conf
defaultrouter="212.56.205.193"
gateway_enable="YES"
7) ping mail.ru - О счастье 2! Пингуется 2!
Дальше больше.... нуно включить почтовик в сеть. На стене у меня висит свич, а на нём значёк "Дежурный по связи". Из него выходит провод и втыкается в сетевуху на моём рутере, бортовая карта (vr0).
9) В этот же свич, подключен почтовик тоже специальным кабелем (UTP 5-ой категории).
10) Я, значит, лезу на рутер и прописываю первый IP из тех 16-ти что мне пров выдал на vr0. А именно
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 212.56.205.177 netmask 0xfffffff0 broadcast 212.56.205.191
ether 00:11:2f:b3:e9:69
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
11) Далее прусь на почтовик и прописываю на нём IP: 212.56.205.180 Netmask 255.255.255.240 !!! GW 212.56.205.177 !!! DNS: 195.22.225.11
12) ping mail.ru - О счастье 3! Пингуется 3!
13) Директор в это время сидит без интернета и почты. Надо его включать, прописываю на сетевухе:
rl3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 172.16.3.254 netmask 0xffffff00 broadcast 172.16.3.255
ether 00:c0:df:0d:64:3f
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
НУ ВОТ и подошли к задаче. НАТ нужен через vr0 212.56.205.177 для этой сети 172.16.3.0/24, но чтоб мой почтовик был сам по себе со своим IP без всяких натов и пробросов портов.
Теперь читаем исчо раз первый пост, и хз... не втыкаю уже ни туя.
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
Для совсем полной картины. Могу дать шелл для более чёткого представления картины.
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 212.56.205.193 UGS 0 67386 rl0
127.0.0.1 127.0.0.1 UH 0 766 lo0
172.16.1/24 link#2 UC 0 0 rl1
172.16.2/24 link#3 UC 0 0 rl2
172.16.2.253 00:80:48:2d:f0:68 UHLW 1 315 rl2 700
172.16.3/24 link#4 UC 0 0 rl3
172.16.3.16 00:60:52:0a:36:74 UHLW 1 23 rl3 1181
172.16.3.31 00:0f:fe:b2:38:20 UHLW 1 32 rl3 1181
172.16.3.42 00:c0:df:0d:e3:53 UHLW 1 1 rl3 1181
172.16.3.253 00:80:48:2e:0d:b9 UHLW 1 177 rl3 742
172.16.4/24 link#6 UC 0 0 rl4
212.56.205.176 ff:ff:ff:ff:ff:ff UHLWb 1 21 vr0 =>
212.56.205.176/28 link#5 UC 0 0 vr0
212.56.205.177 00:11:2f:b3:e9:69 UHLW 1 8 lo0
212.56.205.180 00:04:23:47:27:8e UHLW 1 23942 vr0 1043
212.56.205.191 ff:ff:ff:ff:ff:ff UHLWb 1 17 vr0
212.56.205.192/30 link#1 UC 0 0 rl0
212.56.205.193 00:08:e3:18:a3:70 UHLW 2 0 rl0 1178
212.56.205.195 ff:ff:ff:ff:ff:ff UHLWb 1 1 rl0
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 212.56.205.193 UGS 0 67386 rl0
127.0.0.1 127.0.0.1 UH 0 766 lo0
172.16.1/24 link#2 UC 0 0 rl1
172.16.2/24 link#3 UC 0 0 rl2
172.16.2.253 00:80:48:2d:f0:68 UHLW 1 315 rl2 700
172.16.3/24 link#4 UC 0 0 rl3
172.16.3.16 00:60:52:0a:36:74 UHLW 1 23 rl3 1181
172.16.3.31 00:0f:fe:b2:38:20 UHLW 1 32 rl3 1181
172.16.3.42 00:c0:df:0d:e3:53 UHLW 1 1 rl3 1181
172.16.3.253 00:80:48:2e:0d:b9 UHLW 1 177 rl3 742
172.16.4/24 link#6 UC 0 0 rl4
212.56.205.176 ff:ff:ff:ff:ff:ff UHLWb 1 21 vr0 =>
212.56.205.176/28 link#5 UC 0 0 vr0
212.56.205.177 00:11:2f:b3:e9:69 UHLW 1 8 lo0
212.56.205.180 00:04:23:47:27:8e UHLW 1 23942 vr0 1043
212.56.205.191 ff:ff:ff:ff:ff:ff UHLWb 1 17 vr0
212.56.205.192/30 link#1 UC 0 0 rl0
212.56.205.193 00:08:e3:18:a3:70 UHLW 2 0 rl0 1178
212.56.205.195 ff:ff:ff:ff:ff:ff UHLWb 1 1 rl0
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
Как я понимаю:Тогда:
Код: Выделить всё
inet -- rl0 -- 212.56.205.194/30 --> далее к прову
dmz -- vr0 -- 212.56.205.177/28 --> к почтовику, etc.
local -- rl3 -- 172.16.3.254/24 --> локалка
212.56.205.180 -- почтовик
Код: Выделить всё
# для NAT
${FwCMD} add divert natd ip from 172.16.3.0/24 to any out via rl0
${FwCMD} add divert natd ip from any to 212.56.205.194 in via rl0
#для почтовика
${FwCMD} add allow tcp from 212.56.205.180 to any
${FwCMD} add allow tcp from any to 212.56.205.180
Власть в руках у чужаков, и ты им платишь дань...
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Есть похожая.reshekpc писал(а):Ща, пришел со смены. Очухаюсь и продолжим. Потом статью напишем.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Итак, мы имеем обычную настройку ipfw для DMZ. В вышеприведённой ссылке есть мой конфиг фаера. На мост не обращай внимание(я уже переделал на IP-Роутинг), ipfw при этом не изменяется.
Фаер на почтовике (212.56.205.180) должен быть такой (потом сам можешь переделать):Больше для него пока не надо.
С настройками у тебя всё нормально, нужно действительно разрулить с помощью NATD только локальную сеть. При этом натить на vr0 ничего не нужно!!!. Чуть позже продолжение напишу.
Тут я описывал, как отлавить глюки и разобраться с помощью ping куда и что бегает.
Фаер на почтовике (212.56.205.180) должен быть такой (потом сам можешь переделать):
Код: Выделить всё
allow ip from any to any via Lo
allow ip from any to any via ИНТЕРФЕЙС_212.56.205.180
С настройками у тебя всё нормально, нужно действительно разрулить с помощью NATD только локальную сеть. При этом натить на vr0 ничего не нужно!!!. Чуть позже продолжение напишу.
Тут я описывал, как отлавить глюки и разобраться с помощью ping куда и что бегает.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Далее тебе на шлюзе нужно перехватывать трафик на DMZ(почтовый сервер):
Лучше где-нибудь в начале забабахать:
1. Пропускать входящие пакеты из локальной сети в DMZ.2. Пропускать исходящие пакеты с интерфейса vr0 (от нашей сети) к почтовому серверу, которые уже были приняты верхними правилами.Итак чаcть дела сделана. На DMZ из локальной сети пакеты приходят. Теперь делаем чтобы они ещё и назад возвращались.
3. Пропускать входящие пакеты идущие из DMZ от почтового сервера в нашу сеть.4. Пропускать исходящие пакеты в нашу сеть.Аналогично делается и для интернета и шлюза (для него тоже надо :-) )
Для интернета может служить примером такая конструкция:Как видно из примеров(реальных), никакого nat'а не используется.
Рекомендовал бы не пропускать из инета на DMZ IP-Адреса локальных сетей.
Лучше где-нибудь в начале забабахать:
1. Пропускать входящие пакеты из локальной сети в DMZ.
Код: Выделить всё
${fwcmd} add allow all from 172.16.2.0/24,172.16.3.0/24 to 212.56.205.180 in { via rl2 or via rl3 }
Код: Выделить всё
${fwcmd} allow ip from 172.16.2.0/24,172.16.3.0/24 to 212.56.205.180 out { recv rl2 or recv rl3 } xmit vr0
3. Пропускать входящие пакеты идущие из DMZ от почтового сервера в нашу сеть.
Код: Выделить всё
${fwcmd} add allow ip from 212.56.205.180 to 172.16.2.0/24,172.16.3.0/24 in via vr0
Код: Выделить всё
${fwcmd} add pass all from 212.56.205.180 to 172.16.2.0/24,172.16.3.0/24 out recv vr0 { xmit rl2 or xmit rl3 }
Для интернета может служить примером такая конструкция:
Код: Выделить всё
Входящий траффик на почтовик:
${fwcmd} add allow all from any to 212.56.205.180 in via rl0
${fwcmd} add pass all from any to 212.56.205.180 out recv rl0 xmit vr0
Исходящий трафик на почтовик:
${fwcmd} add allow all from 212.56.205.180 to any in via vr0
${fwcmd} add pass all from 212.56.205.180 to any out recv vr0 xmit rl0
Рекомендовал бы не пропускать из инета на DMZ IP-Адреса локальных сетей.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
Ёу! вот это жесть. Короче, простыми способами не получается.
${FwCMD} add divert natd ip from 172.16.3.0/24 to any out via rl0
такая хреновина не проходит. Работает только
00400 166156 82349882 divert 8668 ip from any to any via rl0
-------------------------
Читаю изучаю пробую. Опишу результат. Дальше будем думать. Блин, в теории всё так просто и понятно - а реале хз кто писал ити хэндбуки( я про handbook freebsd). Дальше будет исчо сложнее - локальный (типа молдавский, украинский, российский) трафик распределять +бэкап канал автоматиццки переключать.
И САМОЕ ГЛАВНОЕ! НА на опеннете никто на это пост до сих пор не ответил :-)
Всем Респект и уважуха! Я думаю мы осилим этот фаир![/code]
${FwCMD} add divert natd ip from 172.16.3.0/24 to any out via rl0
такая хреновина не проходит. Работает только
00400 166156 82349882 divert 8668 ip from any to any via rl0
-------------------------
Читаю изучаю пробую. Опишу результат. Дальше будем думать. Блин, в теории всё так просто и понятно - а реале хз кто писал ити хэндбуки( я про handbook freebsd). Дальше будет исчо сложнее - локальный (типа молдавский, украинский, российский) трафик распределять +бэкап канал автоматиццки переключать.
И САМОЕ ГЛАВНОЕ! НА на опеннете никто на это пост до сих пор не ответил :-)
Всем Респект и уважуха! Я думаю мы осилим этот фаир![/code]
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29
- Urgor
- лейтенант
- Сообщения: 677
- Зарегистрирован: 2006-03-14 16:30:18
- Откуда: Гилея (СПб)
- Контактная информация:
Дык, там два правила должно быть, одно на выход, другое на вход. А так ты все подряд натить будешь.Ёу! вот это жесть. Короче, простыми способами не получается.
${FwCMD} add divert natd ip from 172.16.3.0/24 to any out via rl0
такая хреновина не проходит. Работает только
00400 166156 82349882 divert 8668 ip from any to any via rl0
Да, тут не с первого стакана въедишь...Гыыы, есть такая штюка fwbuilder. Может кто им и пользуется, может кто-то и профи. Но обрисовав ему свою сютуёвину - он выругался, и сказал что такого быть не может ))
Власть в руках у чужаков, и ты им платишь дань...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Неответили потому что там там профессионалы своё время не хотят тратить, а чайникам (их там ой как много) это не дано. Они галку только в Windows firewall поставить могут. Последний прикол (не opennet) был в том, что блокировать пинг это круто и защищает от атак. Я ржал.reshekpc писал(а):Дальше будет исчо сложнее - локальный (типа молдавский, украинский, российский) трафик распределять +бэкап канал автоматиццки переключать.
И САМОЕ ГЛАВНОЕ! НА на опеннете никто на это пост до сих пор не ответил :-)
Всем Респект и уважуха! Я думаю мы осилим этот фаир!
А разделять трафик зачем? Учёт? Список IP-Сетей в таблицу и делов то.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-06-26 13:35:29