FreeBSD+IPFW

[Yevgeniy]

Здравствуйте у меня такая проблема
настраиваю ipfw после вкл его ложитса сетка(даже сервак неможет никуда ходить) настраивал по статье http://www.lissyara.su/?id=1127.
что характерно даже через ssh немогу достучатса к серваку хотя по примеру со статьи прописывал что бы пускало. Вот мой rc.firewall помогите плз уже 2 дня сижу ломаю голову в чем проблема зарание спасибо.

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw"

LanOut="nfe0"
NetOut="192.168.17.0/24"
IpOut="192.168.17.1"

LanIn="rl0"
NetIn="192.168.18.0/24"
IpIn="192.168.18.1"
ip_lan="192.168.18"

#Sbros schetchikov

${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush

		#Scorost
#Allows to use more than 1 pipe for packet

/sbin/sysctl net.inet.ip.fw.one_pass=0

#Router

${FwCMD} add pipe 1 ip from ${IpOut} to ${NetIn}
${FwCMD} pipe 1 config bw 100Mbit/s
${FwCMD} add pipe 2 ip from ${NetIn} to ${IpOut}
${FwCMD} pipe 2 config bw 100Mbit/s
${FwCMD} add pipe 3 ip from any to any tcpflags ack iplen 0-128
${FwCMD} pipe 3 config bw 100Mbit/s
#${FwCMD} add allow ip from any to any via nfe0
#${FwCMD} add allow from any to any via rl0

#users 15Kbit

${FwCMD} pipe 4 config mask dst-ip 0xffffffff bw 15Kbit/s
${FwCMD} pipe 5 config mask src-ip 0xffffffff bw 15Kbit/s
${FwCMD} add pipe 4 ip from any to 192.168.1.3 out #To client
${FwCMD} add pipe 5 ip from 192.168.1.3 to any in  #From client

#Admins

${FwCMD} pipe 6 config mask dst-ip 0xffffffff bw 100Kbit/s
${FwCMD} pipe 7 config mask src-ip 0xffffffff bw 100Kbit/s
${FwCMD} add pipe 6 ip from any to 192.168.18.2,192.168.18.5,192.168.18.4 out #To client
${FwCMD} add pipe 7 ip from 192.168.18.2,192.168.18.5,192.168.18.4 to any in  #From client

#Razreshaem ves trafik v vnutri seti

${FwCMD} add allow ip from any to any via lo0

#Vvodim zapretu

${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}

${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}

${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}

${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} add allow icmp from any to any icmptypes 0,8,11

${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}

${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}

${FwCMD} add allow tcp from any to any established

#DNS

${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${NetIn} in via ${LanIn}
${FwCMD} add allow udp from ${IpIn} to any 53 out via ${LanIn}

#Sinhronizaciy vremeny

${FwCMD} add allow udp from any to any 123 via ${LanOut}

#Razreshaem 53 port s narygu(DNS)

${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup

#www(Razreshaem 80 port s narygu)

${FwCMD} add allow tcp from any to ${IpOut} 80 in via ${LanOut} setup

#otkr 20 i 21 port dl9 aktivnogo FTP

${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} 20,21 in via ${LanOut} to any setup

#pochta

${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanOut} setup

#SSH

${FwCMD} add allow tcp from 192.168.18.2 to ${IpIn} 22 in via ${LanIn} setup
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup

#Pasivnuy FTP

${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

# COUNTER-STRIKE

${FwCMD} add allow udp from any 27015-27025 to ${NetIn} in via ${LanOut}
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} out via ${LanIn}
${FwCMD} add allow udp from ${NetIn} to any 27015-27025 in via ${LanIn}
${FwCMD} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut}

#Blok vseh ostal poputok soedineni9 s vneseneeem v LOG
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

########### BEGIN USERS   ###############################

#ICQ

${FwCMD} add allow tcp from ${NetIn} to any 5190 in via ${LanIn} setup

#INET

${FwCMD} add allow tcp from ${ip_lan}.1 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.2 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.3 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.4 to not ${NetIn} in via ${LanIn} setup

############# END USERS #################################

${FwCMD} add deny ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

в таких случаях лучше ipfw show показывать
а также окружение, типа
netstat -rn
ifconfig

[Yevgeniy]

ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8<VLAN_MTU>
	ether 00:15:8a:02:a6:d1
	inet 192.168.18.1 netmask 0xffffff00 broadcast 192.168.18.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=10b<RXCSUM,TXCSUM,VLAN_MTU,TSO4>
	ether 00:15:f2:16:e2:2c
	inet 192.168.17.1 netmask 0xffffff00 broadcast 192.168.17.255
	media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
	status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
	inet 92.112.52.194 --> 195.5.5.184 netmask 0xffffffff 
	Opened by PID 399

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            195.5.5.184        UGS         0  1956099   tun0
92.112.52.194      127.0.0.1          UH          0        0    lo0
127.0.0.1          127.0.0.1          UH          0        6    lo0
192.168.17.0/24    link#2             UC          0        0   nfe0
192.168.17.1       00:15:f2:16:e2:2c  UHLW        1      602    lo0
192.168.18.0/24    link#1             UC          0        0    rl0
192.168.18.2       00:19:db:ad:6c:48  UHLW        1       89    rl0    939
192.168.18.3       00:16:d4:4e:4f:9b  UHLW        1     6099    rl0    916
192.168.18.4       00:00:e2:54:dd:c2  UHLW        1  3263130    rl0    643
195.5.5.184        92.112.52.194      UH          0        0   tun0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff01:5::/32                       link#5                        UGC        tun0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0
ff02::%tun0/32

[manefesto]

ТопикстартерУ:
Сам написать свой фарйвол не пробовал?
копипаст не есть панацея от всех несчастий.

[Yevgeniy]

Я бы может и написал бы если б разбиралса, но я не тупо передрал его я понимал что пишу во всяком случаи догадивалса к чему это относитса, я понимаю что мои вопросы кажутса Вам смешними но я с юниксами неработал раньше, книгами обложилса так что меня на работе уже не узнают хендбук мне вообще снитса, Сначало все ишло нормально настроил ДНС все поднилось пока не дошол до фаирвола, когда я вкл фаирвол то сервак мой нивидет даже ДНС провайдера и внутреней сетки я думаю что я сам сервак закрыл просто может неправельно интерфейсы прописал, или с переменными напутал

[manefesto]

ну вот ты взял готовый фаер.
В котором ты не всё понимаешь.
Состряпай файр снуля.

[Yevgeniy1]

можно тогда спросить правило 1 и 2 правельно написано поидеи если я правильно понял я откр свой сервак ходить в внут сетки к внешнему айпишнику нужно ли мне дописывать правило типа?????

Код: Выделить всё

 {FwCMD} add allow ip any to any via nfeo

[manefesto]

Это не внутри сети, это localhost

#Razreshaem ves trafik v vnutri seti

${FwCMD} add allow ip from any to any via lo0

а как ты написал....да...правильно

[Yevgeniy1]

Спасибо я кажетса понял
тоисть мне нужно прописать разрешения для внут сетки еще можно написать типа

Код: Выделить всё

 {FwCMD} add allow any to any via rl0

(rl0 внутренний интерфейс смотрит в локалку)
а правило

Код: Выделить всё

 {FwCMD} add allow any to any via nfe0

(nfe0 интерфейс смотрит в инет)
тем самым первое правило окрывает трафик внутри сети а второе окрыв трафик снаружи,
Тогда вполне логично почесу у меня ничего не работало,
Я все правильно понимаю???

[manefesto]

слушай....может я те свой конфиг дам...а?
У меня проще

[Yevgeniy1]

Давай если тебе не трудно вышли плз на мыло
mk_geka@ukr.net
или здесь на форуме выложи

огромное спасибо

[Yevgeniy1]

Ребята у менятакой вопрос єможно ли так писать правила на ограничение скорости?????

Код: Выделить всё

$fw add 10010 allow tcp from any to any 80 out via $internet_if setup keep-state
$fw add 10020 allow tcp from any to any 8080 out via $internet_if setup
keep-state
$fw 10010 config mask dst-ip 0xffffffff bw 15Kbit/s
$fw 100200 config mask dst-ip 0xffffffff bw 15Kbit/s

[Temich]

У меня вот какой вопрос, IPFW создает динамичесские правила но не отображает IP адреса источника и адреса назначения

## Dynamic rules (249):
02000 299 136529 (300s) STATE ip UNKNOWN <-> UNKNOWN
02200 31 22135 (245s) STATE ip UNKNOWN <-> UNKNOWN
02200 49 36340 (245s) STATE ip UNKNOWN <-> UNKNOWN

Правила фаера:

Код: Выделить всё

vnu='vr0'
vnun='10.10.0.0/24'
virteks='192.168.1.0/24'
virteksif='xl0'
vne='vr1'
cmd='/sbin/ipfw -q'
ks='keep-state'
mailru='2041-2044,110'
ouip='xxx.xxx.xxx.xxx'

/var/db/rrd/create_base #Трем базу статистики, а то глючит скотина....

$cmd -f flush
$cmd -f pipe flush
$cmd -f nat flush

# Передаем инфу о трафике считалке
$cmd add count all from any to any in via $vne
$cmd add count all from any to any out via $vne
$cmd add count all from any to any out via $virteksif

# Настройка ната для виртекса
$cmd nat 1 config if $vne log redirect_port tcp 192.168.1.80:4899 4899
$cmd add nat 1 tcp from any to $ouip 4899 via $vne
$cmd add nat 1 tcp from 192.168.1.80 4899 to any via $virteksif
$cmd add allow tcp from any to 192.168.1.80 4899 via $virteksif

# Настройка ната для торрента
$cmd nat 3 config if $vne log redirect_port tcp 10.10.0.35:36151 36151
$cmd add nat 3 tcp from any to $ouip 36151 via $vne
$cmd add nat 3 tcp from 10.10.0.35 36151 to any via $vnu
$cmd add allow tcp from any to 10.10.0.35 36151 via $vnu

# Настройка общего ната
$cmd nat 2 config if $vne log
$cmd add nat 2 ip from any to any via $vne


#Разрешаем пинги
$cmd add allow icmp from any to any in via $vne icmptypes 0,3,8,11
$cmd add allow icmp from any to any out via $vne
$cmd add allow icmp from any to any via $vnu

#Разрошение на соединение, не прерывать соединение и получение фрагментир покетов
#$cmd add allow all from $ouip to any out via $vne setup
#$cmd add allow tcp from any to any established
#$cmd add allow tcp from any to any frag

$cmd add reject ip from $vnun to any in via $vne
$cmd add reject ip from $vnun to $virteks
$cmd add reject ip from $virteks to $vnun
$cmd add allow all from any to any via lo0 $ks
$cmd add check-state

# Резалка скорости
$cmd add queue 20 ip from any to $virteks via $virteksif        #Указываем что к Виртексу будет применен шейп
$cmd queue 20 config pipe 10 mask dst-ip 0xffffffff             #Ссылаемся на скорость шейпа и способ создания очередей
$cmd pipe 10 config bw 4Mbit/s                                  #Собственно сама скорость шейпа


$cmd add allow all from me to any $ks
$cmd add allow all from $vnun to me 22,53,80,3129,3306,20001,10000 in via $vnu $ks      #Админские штучки
$cmd add allow all from $vnun to me 3128 in via $vnu $ks                        #Доступ к проксе
$cmd add allow all from 10.10.0.35 to not me $ks                                #Типа шлюз для админского компа
$cmd add allow all from 10.10.0.24 to any $ks                           #Типа шлюз для админского компа
$cmd add allow all from $vnun to any 5190 $ks                                   #Аська... куда же без нее
$cmd add allow all from $vnun to any $mailru $ks                                #Маил агент.....
$cmd add allow all from $virteks to me 53,80 in via $virteksif $ks              #Доступ Виртекса к сервачку
$cmd add allow all from $virteks to not me $ks                                  #Пускаем Виртекс наружу по всем портам

и в итоге получается вообще нереальная весч... на внешнем интерфейсе открыты все порты... может кто подскажет в чем я не прав?

[manefesto]

блин....мне так нравится....кидают готовый конфиг фаервола где-то содранный, да еще оформляют отвратительно и хотят чтобы все сходу въехали и помогли.

[manefesto]

в догонку....почему правила не пронумерованы?
как будешь искать где ошибка ?

[Temich]

Не буду врать, что то содрано, а что то и выстрадано... по поводу нумерации, так они сами по себе нумеруются и если надо, то номера вилны по ipfw show.

[hizel]

Код: Выделить всё

$cmd add allow all from any to any via lo0 $ks

зачем динамика на петле?

Код: Выделить всё

$cmd add check-state

все динамические правила отрабатыватся по первому keep-state или при вхождении check-state
следовательно эта строчка в вашем случае не нужна, если только вы не отрубите keep-state на петле

[Yevgeniy1]

Никто не знает что означает эта ошибка???

Код: Выделить всё

routed[562] ignore RTM_GHENGE without mask 

И еще а где мона посмотреть логи работы ipfw???(на какие сайти ходит ошибки и так далее)

[Yevgeniy1]

Ребята никто не знает что это за ошибки?
вот мой лог ошибок посмотрите плз

Код: Выделить всё

Oct  8 10:01:42 sdpi-net ppp[401]: tun0: Warning: 0.0.0.0/0: Change route failed: errno: No such process
Oct  8 10:01:42 sdpi-net ppp[401]: tun0: Warning: ff02:5::/32: Change route failed: errno: Network is unreachable
Oct  8 10:01:42 sdpi-net routed[562]: ignore RTM_CHANGE without mask
Oct  8 11:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 11:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 12:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 12:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 12:14:03 sdpi-net sshd[1162]: error: PAM: authentication error for admin from 192.168.18.2
Oct  8 12:14:13 sdpi-net su: admin to root on /dev/ttyp0
Oct  8 13:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 13:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 13:42:06 sdpi-net su: admin to root on /dev/ttyp0
Oct  8 14:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 14:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored

И подскажите где можно посмотреть лог работы ipfw(на какие сайти ходит, какие ошибки бьет и так далее)

Зарание спасибо

[Temich]

Спасибо Вам hizel, это поменял, но вот в чем причина того, что динамические правила не имеют IP адресов?

Код: Выделить всё

## Dynamic rules (309):
03700     394     64587 (196s) STATE ip UNKNOWN <-> UNKNOWN
04000      66     57128 (298s) STATE ip UNKNOWN <-> UNKNOWN
04000      76     57394 (299s) STATE ip UNKNOWN <-> UNKNOWN
03700       1        80 (1s) STATE ip UNKNOWN <-> UNKNOWN

[Yevgeniy1]

Ребята кто знает что это за ошибка и как её исправить
Ругаетса при запуске Squid(ругаетса на строчки в файлике squid.conf)

Код: Выделить всё

line 38 unrecognized: httpd_accel_host_virtual

Зарание спасибо

[hizel]

Temich
вы таймауты на динамику не крутили?

Yevgeniy1
версию сквида и текущий конфиг бы привели для ясночти, а пока понятно, что опция не правильная )

[Yevgeniy1]

Версия сквида у меня 2,6,6 за основу брал статью http://www.lissyara.su/?id=1026
вот мой конфиг

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 222.222.222.222
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/etc/squid/redirector.pl
redirect_children 10

acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       \
"/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl     limited_IP      src             \
"/usr/local/my_doc_smb/squid/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.0.0/24
#acl    denied_sites    dstdomain       \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

[Yevgeniy1]

Айпишники я изминил у себя

[hizel]

это для древнего squid-а
сейчас прозрачный прокси подругому настраивается