ipfw: хелп! запутался

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
chuchundra
рядовой
Сообщения: 35
Зарегистрирован: 2007-09-18 8:35:03

ipfw: хелп! запутался

Непрочитанное сообщение chuchundra » 2007-09-25 14:51:56

re1 - смотрит на первого прова
myk1 - на 2 прова

ниже приведённому скрипту интернет работает нормально , переключаюсь на другой канал... руками меняю ifprv1='myk1' на ifprv1='re1' , дальше в rc.conf меняю defaultrouter , natd_interface="re1" , в resolve.conf и named.conf (forwarders) тоже меняю

reboot...
из сервеар пинги доходят до гейта провайдера, а из локалки Request timed out

может гдето что-то забыл подменить? :(

rc.firewall

Код: Выделить всё

#!/bin/sh

ipfw='/sbin/ipfw'

ournet='10.0.0.0/24'
ifuser='re0'
ifprv1='myk1'

${ipfw} -f flush

${ipfw} add 100 check-state
${ipfw} add 150 allow ip from any to any via lo0
${ipfw} add 200 allow ip from me to any keep-state

${ipfw} add 250 deny ip from not ${ournet} to any via ${ifuser} in
${ipfw} add 300 deny ip from any to not me via ${ifprv1} in

${ipfw} add 450 fwd 127.0.0.1,3128 tcp from ${ournet} to any dst-port 80 in
${ipfw} add 500 divert natd ip from any to any via ${ifprv1}
${ipfw} add 550 allow ip from any to any via ${ifprv1} out

${ipfw} add 600 allow tcp from any to me ssh via ${ifuser}
${ipfw} add 650 allow tcp from any to me 80,443 via ${ifuser}
${ipfw} add 700 allow icmp from any to me
${ipfw} add 750 allow udp from any to me 53 via ${ifuser}
${ipfw} add 800 allow udp from any to me 7723 via ${ifuser}
${ipfw} add 850 deny ip from any to me
${ipfw} add 950 allow ip from any to any via ${ifprv1}
${ipfw} add 41000 allow ip from 10.0.0.9 to any
${ipfw} add 41000 allow ip from any to 10.0.0.9
${ipfw} add 42000 allow ip from 10.0.0.10 to any
${ipfw} add 42000 allow ip from any to 10.0.0.10

${ipfw} add 60000 deny ip from any to any

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw: хелп! запутался

Непрочитанное сообщение dikens3 » 2007-09-25 15:00:03

ipfw -ad list
netstat -nr
ifconfig

после смены reboot не стоит делать, можно выполнить /etc/netstart и перезагрузить сетевые настройки.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

chuchundra
рядовой
Сообщения: 35
Зарегистрирован: 2007-09-18 8:35:03

Re: ipfw: хелп! запутался

Непрочитанное сообщение chuchundra » 2007-09-25 15:19:23

Код: Выделить всё

[root@server /boot]# ifconfig
myk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=2b<RXCSUM,TXCSUM,VLAN_MTU,JUMBO_MTU>
        inet 10.0.1.1 netmask 0xffffff00 broadcast 10.0.1.255
        inet 10.0.2.1 netmask 0xffffff00 broadcast 10.0.2.255
        inet 10.0.3.1 netmask 0xffffff00 broadcast 10.0.3.255
        ether 00:15:f2:d7:67:58
        media: Ethernet autoselect
        status: no carrier
myk1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=2b<RXCSUM,TXCSUM,VLAN_MTU,JUMBO_MTU>
        inet 195.250.79.10 netmask 0xffffffc0 broadcast 195.250.79.63
        ether 00:15:f2:d7:64:38
        media: Ethernet autoselect (10baseT/UTP <half-duplex>)
        status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        inet 192.168.100.254 netmask 0xffffff00 broadcast 192.168.100.255
        ether 00:17:9a:38:a8:3a
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        inet 80.81.223.117 netmask 0xffffff00 broadcast 80.81.223.255
        inet 192.168.168.254 netmask 0xffffff00 broadcast 192.168.168.255
        ether 00:17:9a:38:a9:b3
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Код: Выделить всё

[root@server /boot]# netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            195.250.79.1       UGS         0    12583   myk1
10/24              link#3             UC          0        0    re0
10.0.0.9           00:50:da:6d:b3:b5  UHLW        1     8047    re0    946
10.0.0.13          00:14:d1:35:2a:0d  UHLW        1       44    re0   1161
10.0.0.15          00:14:d1:35:2a:0d  UHLW        1     4889    re0    805
10.0.0.18          00:14:d1:35:2a:0d  UHLW        1     2113    re0    724
10.0.0.27          00:14:d1:39:e2:cc  UHLW        1     2116    re0    823
10.0.0.28          00:14:d1:39:e2:89  UHLW        1       37    re0   1018
10.0.0.34          00:14:d1:35:2a:0d  UHLW        1      127    re0   1139
10.0.1/24          link#1             UC          0        0   myk0
10.0.2/24          link#1             UC          0        0   myk0
10.0.3/24          link#1             UC          0        0   myk0
80.81.223/24       link#4             UC          0        0    re1
80.81.223.2        link#4             UHLW        1       42    re1
127.0.0.1          127.0.0.1          UH          0     3440    lo0
192.168.100        link#3             UC          0        0    re0
192.168.168        link#4             UC          0        0    re1
195.250.79/26      link#2             UC          0        0   myk1
195.250.79.1       00:50:50:0d:fa:13  UHLW        2       58   myk1   1197
195.250.79.10      00:15:f2:d7:64:38  UHLW        1      151    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#6                        UHL         lo0
ff01:6::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

Код: Выделить всё

[root@server /boot]# ipfw -ad list
00100     0        0 check-state
00150  6900   997806 allow ip from any to any via lo0
00200 34741 12371148 allow ip from me to any keep-state
00250  2028   174584 deny ip from not 10.0.0.0/24 to any via re0 in
00300  3935   336543 deny ip from any to not me via myk1 in
00450 12745  2329261 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 in
00500  2156   199196 divert 8668 ip from any to any via myk1
00550     0        0 allow ip from any to any via myk1 out
00600   910    76576 allow tcp from any to me dst-port 22 via re0
00650    29     1376 allow tcp from any to me dst-port 80,443 via re0
00700     5      300 allow icmp from any to me
00750   299    19865 allow udp from any to me dst-port 53 via re0
00800   716    31719 allow udp from any to me dst-port 7723 via re0
00850     3      234 deny ip from any to me
00950     0        0 allow ip from any to any via myk1
41000     0        0 allow ip from 10.0.0.12 to any
41000     0        0 allow ip from any to 10.0.0.12
42000    36     3940 allow ip from 10.0.0.13 to any
42000   106    72113 allow ip from any to 10.0.0.13
43000     0        0 allow ip from 10.0.0.14 to any
43000     0        0 allow ip from any to 10.0.0.14
44000   106     5988 allow ip from 10.0.0.15 to any
44000  4633  2387636 allow ip from any to 10.0.0.15
55000     0        0 allow ip from 10.0.0.16 to any
55000     0        0 allow ip from any to 10.0.0.16
52000   259    17009 allow ip from 10.0.0.9 to any
52000  2519  1439373 allow ip from any to 10.0.0.9
60000 18626  2136808 deny ip from any to any
65535     0        0 deny ip from any to any
## Dynamic rules (54):
00200    10     1941 (1s) STATE udp 10.0.0.1 53 <-> 10.0.0.15 49162
00200     0        0 (1s) STATE tcp 10.0.0.1 22 <-> 10.0.0.9 1206

chuchundra
рядовой
Сообщения: 35
Зарегистрирован: 2007-09-18 8:35:03

Re: ipfw: хелп! запутался

Непрочитанное сообщение chuchundra » 2007-09-25 15:26:43

ах да забыл сказать(вернее стыдно было :( незнаю чей сервак но открыт), чтобы хоть http работал... но а как же все други порты? ну хоть пинггг

Код: Выделить всё

cat squid.conf | grep 195.250.79.82

cache_peer 195.250.79.82 parent 3128 0

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw: хелп! запутался

Непрочитанное сообщение dikens3 » 2007-09-25 16:17:27

Да вроде всё нормально.
60000 18626 2136808 deny log ip from any to any
Добавь log и посмотри /var/log/security что тут убивается.

Код: Выделить всё

00200 34741 12371148 allow ip from me to any keep-state
Может ICMP не попадает под это правило? Попробуй wget http://www.mail.ru на сервере.

P.S. Судя по статистике у тебя пользователи ходят в инет. :-)

Код: Выделить всё

44000   106     5988 allow ip from 10.0.0.15 to any
44000  4633  2387636 allow ip from any to 10.0.0.15
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

chuchundra
рядовой
Сообщения: 35
Зарегистрирован: 2007-09-18 8:35:03

Re: ipfw: хелп! запутался

Непрочитанное сообщение chuchundra » 2007-09-25 16:40:51

в /var/log/security про мой IP 10.0.0.9 нечего нету даже с верху где есть deny поставил log

P.S. Судя по статистике у тебя пользователи ходят в инет. <-- это токо http(cache_peer 195.250.79.82 parent 3128 0)

просто незнаю... почему когда переклучаюсь обрато на другой пров все работает

в rc.firewall нечего кроме смены интерфейса не меняю
rc.conf
defaultroute и
natd_interface меняю

и DNS все работает!!!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw: хелп! запутался

Непрочитанное сообщение dikens3 » 2007-09-25 18:04:51

Видимо планеты так совпали.
1. tcpdump на внутреннем интерфейсе и смотреть, приходит ли пинг от 10.0.0.9?
2. Если приходит, то по какому правилу в ipfw он будет принят.
3. tcpdump на внешнем интерфейсе, ушёл ли пинг в инет.
4. По какому правилу(+ nat) в ipfw?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.