ipfw+nat встроенный

[_kirill_]

замена
IPFIREALL_EXTENDED
на
IPFIREWALL_EXTENDED

кстати оно же выше было за комментировано? =/

знание немного англицкого рулит
сличение параметров ядра с этими файликами крайне приведствуется

Код: Выделить всё

/usr/src/sys/conf/NOTES
/usr/src/sys/conf/i386/NOTES

:-))))). да я на скорую руку даже не обратил внимания . Английским владею, технически

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[_kirill_]

Код: Выделить всё

MGW# make -j8 -s buildkernel KERNCONF=MY.SMP
--------------------------------------------------------------
>>> Kernel build for MY.SMP started on Fri Feb 29 15:55:43 UTC 2008
--------------------------------------------------------------
===> MY.SMP
--------------------------------------------------------------
>>> stage 1: configuring the kernel
--------------------------------------------------------------
/usr/src/sys/i386/conf/MY.SMP: unknown option "IPFIREWALL_EXTENDED"
*** Error code 1
1 error
*** Error code 2
1 error
MGW#

тоже самое ((

[_kirill_]

# IPFIREWALL_NAT adds support for in kernel nat in ipfw, and it requires
# LIBALIAS. To build an ipfw kld with nat support enabled, add
# "CFLAGS+= -DIPFIREWALL_NAT" to your make.conf.

[hizel]

опачки в 6.3 релизе такой опции нет

Код: Выделить всё

> grep IPFIREWALL /usr/src/sys/conf/NOTES
# IPFIREWALL enables support for IP firewall construction, in
# conjunction with the `ipfw' program.  IPFIREWALL_VERBOSE sends
# logged packets to the system logger.  IPFIREWALL_VERBOSE_LIMIT
# WARNING:  IPFIREWALL defaults to a policy of "deny ip from any to any"
# IPFIREWALL_DEFAULT_TO_ACCEPT causes the default rule (at boot) to
# depends on IPFIREWALL if compiled into the kernel.
# IPFIREWALL_FORWARD enables changing of the packet destination either
options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default
options         IPFIREWALL_FORWARD      #packet destination changes
# DUMMYNET enables the "dummynet" bandwidth limiter.  You need IPFIREWALL
# You can use IPFIREWALL and DUMMYNET together with bridging.
> grep IPFIREWALL /usr/src/sys/i386/conf/NOTES
>

вывод, убрать эту опцию !
гм, в 7-ке для NAT

Код: Выделить всё

options         IPFIREWALL_NAT
options         LIBALIAS

[_kirill_]

спасибо усем . разобрался

[Alex Keda]

Код: Выделить всё

lissyara# grep firewall_nat_enable /etc/defaults/rc.conf
firewall_nat_enable="NO"        # Enable kernel NAT (if firewall_enable == YES)
lissyara#    

[_kirill_]

интересно, PBR теперь будет легче сделать или нет?
сделал примерно следующее:

Код: Выделить всё

#ipfw nat 1 config ip 84.xxx.xxx.xxx
#ipfw add 1 nat 1 all from 192.168.1.16 to any
#ipfw add 2 fwd 84.xxx.xxx.1 all from 192.168.1.16 to any

роут по умолчанию стоит 83.xxx.xxx.254
по логам вижу что происходит НАТ, потом ФОРВАРД.
но не работает. тспдампом вижу ток что приходит ответный пакет а отправляющий пакет уходит по дефолтовому.

[voider]

народ не парьтесь с этим Ipfw есть куда лучше файрволл


одной стройчкой мы можем натить там
pf.conf

Код: Выделить всё

ext_if="xl0"
int_if="rl0"
nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if) 

перед этим в ядро запихните вот это

Код: Выделить всё

 # ================ Enable pf & altq ==============
device pf
device pflog
device pfsync

options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ

да ,чуть не забыл и еще добавте сам файрвол в rc.conf

Код: Выделить всё

pf_enable="YES"                 # Включить PF (загрузить модуль если необходимо)
pf_rules="/etc/pf.conf"         # определение правил для pf
pf_flags=""                     # дополнительные флаги для запуска pfctl
pflog_enable="NO" 		# запустить pflogd(8)
pflog_logfile="/var/log/pflog"  # где pflogd должен сохранять протокол
pflog_flags=""                  # дополнительные флаги для запуска pflogd

[dikens3]

народ не парьтесь с этим Ipfw есть куда лучше файрволл

Если уж начал, тогда продолжай что там лучше, только nat?

А ещё лучше подготовь статью, чем pf лучше ipfw и тогда её можно как FAQ сделать и на сайт повесить. Потом ещё и разработчикам ipfw отправить на рассмотрение.

[voider]

ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22

допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1

вот подробно http://www.openbsd.org/faq/pf/rdr.html

[voider]

Если уж начал, тогда продолжай что там лучше, только nat?

он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altq , а сам pf реализован ввиде девайса

[_kirill_]

Если уж начал, тогда продолжай что там лучше, только nat?

он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altq

зато он не умеет фильтровать по маку ))))

[voider]

зато он не умеет фильтровать по маку ))))

кто сказал? читай )))

Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:

Код: Выделить всё

 
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \
   tag USER1 
And then in pf.conf: 

pass in on fxp0 tagged USER1

съел? ))

[Alex Keda]

ф топку

[iZEN]

народ не парьтесь с этим Ipfw есть куда лучше файрволл
<...>
перед этим в ядро запихните вот это

Код: Выделить всё

 # ================ Enable pf & altq ==============
device pf
device pflog
device pfsync

options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ

А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?

[-cat-]

ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22

надо полагать что ipfw такого не дано?

допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1

а этим судя по всему обеспечим функционал FTP-сервера за файервалом?

proto { tcp udp }

А такие протоколы для FTP больше всего радуют.

[_kirill_]

зато он не умеет фильтровать по маку ))))

кто сказал? читай )))

Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:

Код: Выделить всё

 
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \
   tag USER1 
And then in pf.conf: 

pass in on fxp0 tagged USER1

съел? ))

гемороя больше... в айпифв проще осуществляется...

[voider]

мне всё равно какой вам нравиться файрвол я использую его мне нравица (и не хочу пиарить потомучто это надо самому дойти до него) ,но почемуто же во вряху портировали этот файрвол и ктомуже он совсем новый ,поэтому вам решать либо писать кучу правил немереных занимающих весь экран , либо обойтись пару строчками. я для себя реши изучить этот файрвол и не зря сделал ,теперь нет заморочек которые были с IPFW где каждый шаг надо было прописывать пукнул прописал ,забудешь что нибуть и ничего не пашет. да кому как нравицы тот так и париться

[_kirill_]

чессна гря мне тож пф больш нравится, ток времени не хватает на его изучение.

[voider]

А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?

не знаю..

[voider]

надо полагать что ipfw такого не дано?

да дано тока замудренно такое ощющение ,его писал человек который так всё замудрил ,что моск вскрываеться

а этим судя по всему обеспечим функционал FTP-сервера за файервалом?

ну да редирект на другой комп в сети где есть фтп сервак

А такие протоколы для FTP больше всего радуют.

)))

[voider]

статека маленькая как настроить nat mpd и pf
http://www.rusdoc.ru/articles/9954/

[dikens3]

ну вот еще команды допустим надо блокировать ssh

Код: Выделить всё

block in quick on $ext_if proto tcp from any to any port 22

допустим надо перенаправить порт на внутр машину локальную ,

Код: Выделить всё

server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)

rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1

вот подробно http://www.openbsd.org/faq/pf/rdr.html

Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.

Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)

deny tcp from any to me 22 setup

Меня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:

Код: Выделить всё

deny tcp from any to me 22,23,25,110,443,80 setup

Сколько будет правил при учёте, что IP-Адресов 5 штук? Дай угадаю - 30 правил, вместо одного?

P.S. Везде свои плюсы и минусы.

[hizel]

ага, хооливааар

дарагой voider

называть altq в pf аналогом dummynet в ipfw - ниправда
аналогов dummynet в pf неть
а altq это механизм вне фаера и больше относится собственно к драйверам сетевух
поэтому, сюрприз, altq можно пользовать во всех трех фаерах фри включая ipfw

далее механизм фильтрования mac адресов работает в связке pf+openbsd при фильтровании пакетов проходящих
через bridge и только там, во фрибсд такой радости в pf нет во всяком случае
в 6.2 релизе man bridge тишина и brconfig не существует

[voider]

Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.

Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)

веришь? мне пофигу

Меня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:

Код: Выделить всё

deny tcp from any to me 22,23,25,110,443,80 setup

Сколько будет правил при учёте, что IP-Адресов 5 штук? Дай угадаю - 30 правил, вместо одного?
P.S. Везде свои плюсы и минусы.

так добавь всю сеть

Код: Выделить всё

dmz_net = "192.168.0.0/24"