ipfw и вопросы начинающего

[OSBoy]

Если хочешь, чтобы после divert nat пакеты не разрешались сразу, а продолжали обрабатываться следующими правилами, ставь в "0".

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Batelli]

Чтоб б тем не плодить,покурил маны и здесь на сайте статью по настройке ipfw вот чего наделал но похать отказывается..что неправильно?

Собственно было идея настроить фрю как шлюз на котором будет висеть ДНС,почта,апач.Виндовая машина подключена кроссом напрямую.
Если без фаера то с виндовой машины в нет лезет.

А так не лезет вообще..даже фря сама..)



# -- sysinstall generated deltas -- # Mon Jan 1 06:18:40 2007
# Created: Mon Jan 1 06:18:40 2007
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
hostname="QWERTY"
ifconfig_vr0="77.41.х.х 255.255.240.0"
defaultrouter="77.41.80.1"
ifconfig_re0="192.168.0.1 255.255.255.0"
keymap="ru.koi8-r"
sshd_enable="YES"
usbd_enable="YES"
natd_enable="YES"
natd_interface="vr0"
firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
firewall_logging="YES"
sendmail_enable="NONE"







#!/bin/sh

/sbin/ipfw -f flush




/sbin/ipfw add check-state

/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add deny all from any to 127.0.0.0/8
/sbin/ipfw add deny all from 127.0.0.0/8 to any


/sbin/ipfw add deny ip from 192.168.0.0/24 to any in via vr0
/sbin/ipfw add deny ip from 77.41.х.х to any in via re0


/sbin/ipfw add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add deny icmp from any to any fraq


/sbin/ipfw add divert natd ip from 192.168.0.2 to any out via vr0
/sbin/ipfw add divert natd ip from any to 77.41.x.x in via vr0

/sbin/ipfw add allow tcp from any to any established
/sbin/ipfe add allow tcp from 77.41.x.x to any out xmit vr0
/sbin/ipfw add allow udp from any 53 to any via vr0
/sbin/ipfw add allow udp from any to any 53 via vr0

/sbin/ipfw add allow tcp from any to 77.41.x.x 21 via vr0

/sbin/ipfw add allow tcp from any to 77.41.x.x 80 via vr0

/sbin/ipfw add allow tcp from any to 77.41.x.x 25 via vr0

/sbin/ipfw add allow tcp from any to 77.41.x.x 22 via vr0

/sbin/ipfw add allow tcp from any to 77.41.x.x 110 via vr0

/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 5190 in via re0 setup

/sbin/ipfw add allow tcp from any to any via re0
/sbin/ipfw add allow udp from any to any via re0
/sbin/ipfw add allow icmp from any to any via re0


#/sbin/ipfw add 65000 allow ip from any to any




QWERTY# ipfw show
00100 0 0 check-state
00200 0 0 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from 192.168.0.0/24 to any in via vr0
00600 0 0 deny ip from 77.41.x.x to any in via re0
00700 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00800 40436 49248154 divert 8668 ip from 192.168.0.2 to any out via vr0
00900 24382 1565155 divert 8668 ip from any to 77.41.x.x in via vr0
01000 125756 101861489 allow tcp from any to any established
01100 27 2953 allow udp from any 53 to any via vr0
01200 27 1665 allow udp from any to any dst-port 53 via vr0
01300 0 0 allow tcp from any to 77.41.x.x dst-port 21 via vr0
01400 682 33152 allow tcp from any to 77.x.x.10 dst-port 80 via vr0
01500 0 0 allow tcp from any to 77.41.x.x dst-port 25 via vr0
01600 0 0 allow tcp from any to 77.41.x.x dst-port 22 via vr0
01700 0 0 allow tcp from any to 77.41.x.x dst-port 110 via vr0
01800 20 960 allow tcp from 192.168.0.0/24 to any dst-port 5190 in via re0 setup
01900 2758 132384 allow tcp from any to any via re0
02000 41 4370 allow udp from any to any via re0
02100 114 6844 allow icmp from any to any via re0
02200 2391 116037 allow ip from any to any -добавил сейчас чтоб в нет вылезти...)
65535 709 33710 deny ip from any to any
QWERTY#

[-cat-]

У тебя закрыт трафик с роутера
Надо добавить что-то вроде

Код: Выделить всё

add allow tcp from 77.41.x.x to any out via vr0

Аналогично для udp и icmp смотря что хочешь разрешить по портам

[-cat-]

Ещё правило 1800 бессмысленно поскольку есть 1900, да и вообще на внутреннем интерфейсе волне можно использовать

Код: Выделить всё

allow ip from any to any via re0

не разбивая на TCP UDP и ICMP

[skinc]

Без фаера в инет ничего не полезет - именно правила диверта передают трафик с локалки в NAT - попробуй такой набор:

Код: Выделить всё

#!/bin/sh
/sbin/ipfw -f flush

/sbin/ipfw add pass all from any to any via lo0
/sbin/ipfw add deny all from 127.0.0.1/8 to any
/sbin/ipfw add deny all from any to 127.0.0.1/8  

/sbin/ipfw add divert natd all from 192.168.0.0/24 to any out via vr0
/sbin/ipfw add divert natd all from any to me in via vr0

/sbin/ipfw add pass all from any to any

С такими правилами должно все работать (инет с фряхи и с виндовой машины).
Если не прав - пусть меня поправят - сам сейчас сижу и настраиваю серваку ipfw и уже моск плавиться начинает...
Сейчас подумаю, как остальные правила исправить...

[skinc]

Кажется, должно работать:

Код: Выделить всё

#!/bin/sh

/sbin/ipfw -f flush

# Надо после диверта...
#/sbin/ipfw add check-state

/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add deny all from any to 127.0.0.0/8
/sbin/ipfw add deny all from 127.0.0.0/8 to any


/sbin/ipfw add deny ip from 192.168.0.0/24 to any in via vr0
/sbin/ipfw add deny ip from 77.41.х.х to any in via re0

/sbin/ipfw add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add deny icmp from any to any fraq

/sbin/ipfw add divert natd ip from 192.168.0.2 to any out via vr0
/sbin/ipfw add divert natd ip from any to 77.41.x.x in via vr0

# Надо после диверта... вот тут
/sbin/ipfw add check-state

/sbin/ipfw add allow tcp from any to any established

# Думаю, что лучше заменить так, хотя смысл немного другой, но фряху в инет должно начать пускать
#/sbin/ipfe add allow tcp from 77.41.x.x to any out xmit vr0
/sbin/ipfe add allow tcp from me to any setup keep-state via vr0

# Лучше так
#/sbin/ipfw add allow udp from any 53 to any via vr0
#/sbin/ipfw add allow udp from any to any 53 via vr0
/sbin/ipfw add allow udp from any to any 53 via vr0 keep-state

# Лучше так
#/sbin/ipfw add allow tcp from any to 77.41.x.x 21 via vr0
#/sbin/ipfw add allow tcp from any to 77.41.x.x 80 via vr0
#/sbin/ipfw add allow tcp from any to 77.41.x.x 25 via vr0
#/sbin/ipfw add allow tcp from any to 77.41.x.x 22 via vr0
#/sbin/ipfw add allow tcp from any to 77.41.x.x 110 via vr0
/sbin/ipfw add allow tcp from any to 77.41.x.x 21 via vr0 keep-state
/sbin/ipfw add allow tcp from any to 77.41.x.x 80 via vr0 keep-state
/sbin/ipfw add allow tcp from any to 77.41.x.x 25 via vr0 keep-state
/sbin/ipfw add allow tcp from any to 77.41.x.x 22 via vr0 keep-state
/sbin/ipfw add allow tcp from any to 77.41.x.x 110 via vr0 keep-state
# Хотя, если хочешь предоставить доступ и виндовой машине, то надо бы заменить на
#/sbin/ipfw add allow tcp from any to me 21 via vr0 keep-state
#/sbin/ipfw add allow tcp from any to me 80 via vr0 keep-state
#/sbin/ipfw add allow tcp from any to me 25 via vr0 keep-state
#/sbin/ipfw add allow tcp from any to me 22 via vr0 keep-state
#/sbin/ipfw add allow tcp from any to me 110 via vr0 keep-state

# Тоже лучше так
#/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 5190 in via re0 setup
/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 5190 in via re0 setup keep-state

# Заменяем на одно правило
#/sbin/ipfw add allow tcp from any to any via re0
#/sbin/ipfw add allow udp from any to any via re0
#/sbin/ipfw add allow icmp from any to any via re0
/sbin/ipfw add allow all from any to any via re0

#/sbin/ipfw add 65000 allow ip from any to any

Если использовать keep-state, то создастся динамическое правило, которое автоматически разрешит обратный ответ на данный запрос.

[-cat-]

Если использовать keep-state, то создастся динамическое правило, которое автоматически разрешит обратный ответ на данный запрос.

В таком примере использование конструкции сheck-state keep-state для TCP абсолютно лишено смысла, поскольку есть

Код: Выделить всё

add allow tcp from any to any established

который и так все пропустит. Только затраты памяти для динамических правил

[Batelli]

Большое спасибо!Сейчас какие-то проблемы с железом сеть падает постоянно..но как разрулю,то попробую.