ipfw+nat встроенный

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-02-29 13:48:29

hizel писал(а):замена
IPFIREALL_EXTENDED
на
IPFIREWALL_EXTENDED

кстати оно же выше было за комментировано? =/

знание немного англицкого рулит
сличение параметров ядра с этими файликами крайне приведствуется

Код: Выделить всё

/usr/src/sys/conf/NOTES
/usr/src/sys/conf/i386/NOTES
:-))))). да я на скорую руку даже не обратил внимания :). Английским владею, технически :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-02-29 13:49:59

Код: Выделить всё

MGW# make -j8 -s buildkernel KERNCONF=MY.SMP
--------------------------------------------------------------
>>> Kernel build for MY.SMP started on Fri Feb 29 15:55:43 UTC 2008
--------------------------------------------------------------
===> MY.SMP
--------------------------------------------------------------
>>> stage 1: configuring the kernel
--------------------------------------------------------------
/usr/src/sys/i386/conf/MY.SMP: unknown option "IPFIREWALL_EXTENDED"
*** Error code 1
1 error
*** Error code 2
1 error
MGW#
тоже самое :(((

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-02-29 13:51:50

# IPFIREWALL_NAT adds support for in kernel nat in ipfw, and it requires
# LIBALIAS. To build an ipfw kld with nat support enabled, add
# "CFLAGS+= -DIPFIREWALL_NAT" to your make.conf.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+nat встроенный

Непрочитанное сообщение hizel » 2008-02-29 13:52:23

опачки в 6.3 релизе такой опции нет

Код: Выделить всё

> grep IPFIREWALL /usr/src/sys/conf/NOTES
# IPFIREWALL enables support for IP firewall construction, in
# conjunction with the `ipfw' program.  IPFIREWALL_VERBOSE sends
# logged packets to the system logger.  IPFIREWALL_VERBOSE_LIMIT
# WARNING:  IPFIREWALL defaults to a policy of "deny ip from any to any"
# IPFIREWALL_DEFAULT_TO_ACCEPT causes the default rule (at boot) to
# depends on IPFIREWALL if compiled into the kernel.
# IPFIREWALL_FORWARD enables changing of the packet destination either
options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default
options         IPFIREWALL_FORWARD      #packet destination changes
# DUMMYNET enables the "dummynet" bandwidth limiter.  You need IPFIREWALL
# You can use IPFIREWALL and DUMMYNET together with bridging.
> grep IPFIREWALL /usr/src/sys/i386/conf/NOTES
>
вывод, убрать эту опцию !
гм, в 7-ке для NAT

Код: Выделить всё

options         IPFIREWALL_NAT
options         LIBALIAS
Последний раз редактировалось hizel 2008-02-29 13:54:46, всего редактировалось 1 раз.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-02-29 13:53:58

спасибо усем :). разобрался :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение Alex Keda » 2008-02-29 17:25:28

Код: Выделить всё

lissyara# grep firewall_nat_enable /etc/defaults/rc.conf
firewall_nat_enable="NO"        # Enable kernel NAT (if firewall_enable == YES)
lissyara#    
Убей их всех! Бог потом рассортирует...

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-02-29 19:06:55

интересно, PBR теперь будет легче сделать или нет?
сделал примерно следующее:

Код: Выделить всё

#ipfw nat 1 config ip 84.xxx.xxx.xxx
#ipfw add 1 nat 1 all from 192.168.1.16 to any
#ipfw add 2 fwd 84.xxx.xxx.1 all from 192.168.1.16 to any
роут по умолчанию стоит 83.xxx.xxx.254
по логам вижу что происходит НАТ, потом ФОРВАРД.
но не работает. тспдампом вижу ток что приходит ответный пакет а отправляющий пакет уходит по дефолтовому.

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-01 18:56:12

народ не парьтесь с этим Ipfw есть куда лучше файрволл


одной стройчкой мы можем натить там
pf.conf

Код: Выделить всё

ext_if="xl0"
int_if="rl0"
nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if) 
перед этим в ядро запихните вот это

Код: Выделить всё

 # ================ Enable pf & altq ==============
device pf
device pflog
device pfsync

options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
да ,чуть не забыл и еще добавте сам файрвол в rc.conf

Код: Выделить всё

pf_enable="YES"                 # Включить PF (загрузить модуль если необходимо)
pf_rules="/etc/pf.conf"         # определение правил для pf
pf_flags=""                     # дополнительные флаги для запуска pfctl
pflog_enable="NO" 		# запустить pflogd(8)
pflog_logfile="/var/log/pflog"  # где pflogd должен сохранять протокол
pflog_flags=""                  # дополнительные флаги для запуска pflogd

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение dikens3 » 2008-03-02 17:07:14

voider писал(а):народ не парьтесь с этим Ipfw есть куда лучше файрволл
Если уж начал, тогда продолжай что там лучше, только nat?

А ещё лучше подготовь статью, чем pf лучше ipfw и тогда её можно как FAQ сделать и на сайт повесить. Потом ещё и разработчикам ipfw отправить на рассмотрение.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 19:37:44

ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22

допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
вот подробно http://www.openbsd.org/faq/pf/rdr.html

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 19:44:44

dikens3 писал(а):Если уж начал, тогда продолжай что там лучше, только nat?
он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altq , а сам pf реализован ввиде девайса
Последний раз редактировалось voider 2008-03-02 19:50:55, всего редактировалось 1 раз.

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-03-02 19:48:10

voider писал(а):
dikens3 писал(а):Если уж начал, тогда продолжай что там лучше, только nat?
он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altq
зато он не умеет фильтровать по маку :)))))

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 20:00:01

_kirill_ писал(а): зато он не умеет фильтровать по маку :)))))
кто сказал? читай )))

Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:

Код: Выделить всё

 
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \
   tag USER1 
And then in pf.conf: 

pass in on fxp0 tagged USER1
съел? :)))

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение Alex Keda » 2008-03-02 20:05:53

ф топку
Убей их всех! Бог потом рассортирует...

Аватара пользователя
iZEN
ст. лейтенант
Сообщения: 1089
Зарегистрирован: 2007-09-15 16:45:26
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение iZEN » 2008-03-02 20:07:59

voider писал(а):народ не парьтесь с этим Ipfw есть куда лучше файрволл
<...>
перед этим в ядро запихните вот это

Код: Выделить всё

 # ================ Enable pf & altq ==============
device pf
device pflog
device pfsync

options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение -cat- » 2008-03-02 20:15:39

voider писал(а):ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22
надо полагать что ipfw такого не дано?
voider писал(а): допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
а этим судя по всему обеспечим функционал FTP-сервера за файервалом?
voider писал(а): proto { tcp udp }
А такие протоколы для FTP больше всего радуют.

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-03-02 20:38:03

voider писал(а):
_kirill_ писал(а): зато он не умеет фильтровать по маку :)))))
кто сказал? читай )))

Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:

Код: Выделить всё

 
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \
   tag USER1 
And then in pf.conf: 

pass in on fxp0 tagged USER1
съел? :)))
гемороя больше... в айпифв проще осуществляется...

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 20:55:16

мне всё равно какой вам нравиться файрвол я использую его мне нравица (и не хочу пиарить потомучто это надо самому дойти до него) ,но почемуто же во вряху портировали этот файрвол и ктомуже он совсем новый ,поэтому вам решать либо писать кучу правил немереных занимающих весь экран , либо обойтись пару строчками. я для себя реши изучить этот файрвол и не зря сделал ,теперь нет заморочек которые были с IPFW где каждый шаг надо было прописывать пукнул прописал ,забудешь что нибуть и ничего не пашет. да кому как нравицы тот так и париться :)

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение _kirill_ » 2008-03-02 21:14:10

чессна гря мне тож пф больш нравится, ток времени не хватает на его изучение.

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 21:17:10

iZEN писал(а): А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?
не знаю..

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 21:26:27

-cat- писал(а): надо полагать что ipfw такого не дано?
да дано тока замудренно такое ощющение ,его писал человек который так всё замудрил ,что моск вскрываеться
-cat- писал(а):
а этим судя по всему обеспечим функционал FTP-сервера за файервалом?
ну да редирект на другой комп в сети где есть фтп сервак
-cat- писал(а):
А такие протоколы для FTP больше всего радуют.
)))

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 21:58:37

статека маленькая :) как настроить nat mpd и pf
http://www.rusdoc.ru/articles/9954/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw+nat встроенный

Непрочитанное сообщение dikens3 » 2008-03-02 21:59:48

voider писал(а):ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22

допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
вот подробно http://www.openbsd.org/faq/pf/rdr.html
Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.

Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)
deny tcp from any to me 22 setup
Меня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:

Код: Выделить всё

deny tcp from any to me 22,23,25,110,443,80 setup
Сколько будет правил при учёте, что IP-Адресов 5 штук? Дай угадаю - 30 правил, вместо одного?

P.S. Везде свои плюсы и минусы.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+nat встроенный

Непрочитанное сообщение hizel » 2008-03-02 22:25:37

ага, хооливааар :)

дарагой voider

называть altq в pf аналогом dummynet в ipfw - ниправда
аналогов dummynet в pf неть
а altq это механизм вне фаера и больше относится собственно к драйверам сетевух
поэтому, сюрприз, altq можно пользовать во всех трех фаерах фри включая ipfw

далее механизм фильтрования mac адресов работает в связке pf+openbsd при фильтровании пакетов проходящих
через bridge и только там, во фрибсд такой радости в pf нет во всяком случае
в 6.2 релизе man bridge тишина и brconfig не существует
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
voider
лейтенант
Сообщения: 830
Зарегистрирован: 2008-02-21 20:35:03
Откуда: msk

Re: ipfw+nat встроенный

Непрочитанное сообщение voider » 2008-03-02 22:32:57

dikens3 писал(а):
Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.

Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)
веришь? мне пофигу :)

Меня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:

Код: Выделить всё

deny tcp from any to me 22,23,25,110,443,80 setup
Сколько будет правил при учёте, что IP-Адресов 5 штук? Дай угадаю - 30 правил, вместо одного?
P.S. Везде свои плюсы и минусы.
так добавь всю сеть :)

Код: Выделить всё

dmz_net = "192.168.0.0/24"