:-))))). да я на скорую руку даже не обратил внимания . Английским владею, техническиhizel писал(а):замена
IPFIREALL_EXTENDED
на
IPFIREWALL_EXTENDED
кстати оно же выше было за комментировано? =/
знание немного англицкого рулит
сличение параметров ядра с этими файликами крайне приведствуетсяКод: Выделить всё
/usr/src/sys/conf/NOTES /usr/src/sys/conf/i386/NOTES
ipfw+nat встроенный
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
Код: Выделить всё
MGW# make -j8 -s buildkernel KERNCONF=MY.SMP
--------------------------------------------------------------
>>> Kernel build for MY.SMP started on Fri Feb 29 15:55:43 UTC 2008
--------------------------------------------------------------
===> MY.SMP
--------------------------------------------------------------
>>> stage 1: configuring the kernel
--------------------------------------------------------------
/usr/src/sys/i386/conf/MY.SMP: unknown option "IPFIREWALL_EXTENDED"
*** Error code 1
1 error
*** Error code 2
1 error
MGW#
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
# IPFIREWALL_NAT adds support for in kernel nat in ipfw, and it requires
# LIBALIAS. To build an ipfw kld with nat support enabled, add
# "CFLAGS+= -DIPFIREWALL_NAT" to your make.conf.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw+nat встроенный
опачки в 6.3 релизе такой опции нет
вывод, убрать эту опцию !
гм, в 7-ке для NAT
Код: Выделить всё
> grep IPFIREWALL /usr/src/sys/conf/NOTES
# IPFIREWALL enables support for IP firewall construction, in
# conjunction with the `ipfw' program. IPFIREWALL_VERBOSE sends
# logged packets to the system logger. IPFIREWALL_VERBOSE_LIMIT
# WARNING: IPFIREWALL defaults to a policy of "deny ip from any to any"
# IPFIREWALL_DEFAULT_TO_ACCEPT causes the default rule (at boot) to
# depends on IPFIREWALL if compiled into the kernel.
# IPFIREWALL_FORWARD enables changing of the packet destination either
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPFIREWALL_FORWARD #packet destination changes
# DUMMYNET enables the "dummynet" bandwidth limiter. You need IPFIREWALL
# You can use IPFIREWALL and DUMMYNET together with bridging.
> grep IPFIREWALL /usr/src/sys/i386/conf/NOTES
>
гм, в 7-ке для NAT
Код: Выделить всё
options IPFIREWALL_NAT
options LIBALIAS
Последний раз редактировалось hizel 2008-02-29 13:54:46, всего редактировалось 1 раз.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
спасибо усем . разобрался
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ipfw+nat встроенный
Код: Выделить всё
lissyara# grep firewall_nat_enable /etc/defaults/rc.conf
firewall_nat_enable="NO" # Enable kernel NAT (if firewall_enable == YES)
lissyara#
Убей их всех! Бог потом рассортирует...
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
интересно, PBR теперь будет легче сделать или нет?
сделал примерно следующее:
роут по умолчанию стоит 83.xxx.xxx.254
по логам вижу что происходит НАТ, потом ФОРВАРД.
но не работает. тспдампом вижу ток что приходит ответный пакет а отправляющий пакет уходит по дефолтовому.
сделал примерно следующее:
Код: Выделить всё
#ipfw nat 1 config ip 84.xxx.xxx.xxx
#ipfw add 1 nat 1 all from 192.168.1.16 to any
#ipfw add 2 fwd 84.xxx.xxx.1 all from 192.168.1.16 to any
по логам вижу что происходит НАТ, потом ФОРВАРД.
но не работает. тспдампом вижу ток что приходит ответный пакет а отправляющий пакет уходит по дефолтовому.
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
народ не парьтесь с этим Ipfw есть куда лучше файрволл
одной стройчкой мы можем натить там
pf.conf
перед этим в ядро запихните вот это
да ,чуть не забыл и еще добавте сам файрвол в rc.conf
одной стройчкой мы можем натить там
pf.conf
Код: Выделить всё
ext_if="xl0"
int_if="rl0"
nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if)
Код: Выделить всё
# ================ Enable pf & altq ==============
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
Код: Выделить всё
pf_enable="YES" # Включить PF (загрузить модуль если необходимо)
pf_rules="/etc/pf.conf" # определение правил для pf
pf_flags="" # дополнительные флаги для запуска pfctl
pflog_enable="NO" # запустить pflogd(8)
pflog_logfile="/var/log/pflog" # где pflogd должен сохранять протокол
pflog_flags="" # дополнительные флаги для запуска pflogd
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ipfw+nat встроенный
Если уж начал, тогда продолжай что там лучше, только nat?voider писал(а):народ не парьтесь с этим Ipfw есть куда лучше файрволл
А ещё лучше подготовь статью, чем pf лучше ipfw и тогда её можно как FAQ сделать и на сайт повесить. Потом ещё и разработчикам ipfw отправить на рассмотрение.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
ну вот еще команды допустим надо блокировать ssh
допустим надо перенаправить порт на внутр машину локальную ,
вот подробно http://www.openbsd.org/faq/pf/rdr.html
Код: Выделить всё
block in quick on $ext_if proto tcp from any to any port 22
допустим надо перенаправить порт на внутр машину локальную ,
Код: Выделить всё
server="192.168.0.50"
ftp_port1=21
# Redirect for inner FTP server (active connection)
rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altq , а сам pf реализован ввиде девайсаdikens3 писал(а):Если уж начал, тогда продолжай что там лучше, только nat?
Последний раз редактировалось voider 2008-03-02 19:50:55, всего редактировалось 1 раз.
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
зато он не умеет фильтровать по маку ))))voider писал(а):он портирован с Openbsd ,а за все время эту Ось взломали только один раз ,к тому же pf быстро работает. dummynet там ввиде altqdikens3 писал(а):Если уж начал, тогда продолжай что там лучше, только nat?
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
кто сказал? читай )))_kirill_ писал(а): зато он не умеет фильтровать по маку ))))
Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:
Код: Выделить всё
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \
tag USER1
And then in pf.conf:
pass in on fxp0 tagged USER1
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- iZEN
- ст. лейтенант
- Сообщения: 1095
- Зарегистрирован: 2007-09-15 16:45:26
- Контактная информация:
Re: ipfw+nat встроенный
А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?voider писал(а):народ не парьтесь с этим Ipfw есть куда лучше файрволл
<...>
перед этим в ядро запихните вот этоКод: Выделить всё
# ================ Enable pf & altq ============== device pf device pflog device pfsync options ALTQ options ALTQ_CBQ options ALTQ_RED options ALTQ_RIO options ALTQ_HFSC options ALTQ_CDNR options ALTQ_PRIQ
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix
- -cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: ipfw+nat встроенный
надо полагать что ipfw такого не дано?voider писал(а):ну вот еще команды допустим надо блокировать ssh
Код: Выделить всё
block in quick on $ext_if proto tcp from any to any port 22
а этим судя по всему обеспечим функционал FTP-сервера за файервалом?voider писал(а): допустим надо перенаправить порт на внутр машину локальную ,Код: Выделить всё
server="192.168.0.50" ftp_port1=21 # Redirect for inner FTP server (active connection) rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
А такие протоколы для FTP больше всего радуют.voider писал(а): proto { tcp udp }
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
гемороя больше... в айпифв проще осуществляется...voider писал(а):кто сказал? читай )))_kirill_ писал(а): зато он не умеет фильтровать по маку ))))
Tagging Ethernet Frames
Tagging can be performed at the Ethernet level if the machine doing the tagging/filtering is also acting as a bridge(4). By creating bridge(4) filter rules that use the tag keyword, PF can be made to filter based on the source or destination MAC address. Bridge(4) rules are created using the brconfig(8) command. Example:съел? ))Код: Выделить всё
# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 \ tag USER1 And then in pf.conf: pass in on fxp0 tagged USER1
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
мне всё равно какой вам нравиться файрвол я использую его мне нравица (и не хочу пиарить потомучто это надо самому дойти до него) ,но почемуто же во вряху портировали этот файрвол и ктомуже он совсем новый ,поэтому вам решать либо писать кучу правил немереных занимающих весь экран , либо обойтись пару строчками. я для себя реши изучить этот файрвол и не зря сделал ,теперь нет заморочек которые были с IPFW где каждый шаг надо было прописывать пукнул прописал ,забудешь что нибуть и ничего не пашет. да кому как нравицы тот так и париться
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw+nat встроенный
чессна гря мне тож пф больш нравится, ток времени не хватает на его изучение.
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
не знаю..iZEN писал(а): А это обязательно в ядро вкомпилировать? И нельзя обойтись модулями ядра?
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
да дано тока замудренно такое ощющение ,его писал человек который так всё замудрил ,что моск вскрываеться-cat- писал(а): надо полагать что ipfw такого не дано?
ну да редирект на другой комп в сети где есть фтп сервак-cat- писал(а):
а этим судя по всему обеспечим функционал FTP-сервера за файервалом?
)))-cat- писал(а):
А такие протоколы для FTP больше всего радуют.
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
статека маленькая как настроить nat mpd и pf
http://www.rusdoc.ru/articles/9954/
http://www.rusdoc.ru/articles/9954/
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ipfw+nat встроенный
Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.voider писал(а):ну вот еще команды допустим надо блокировать ssh
Код: Выделить всё
block in quick on $ext_if proto tcp from any to any port 22
допустим надо перенаправить порт на внутр машину локальную ,вот подробно http://www.openbsd.org/faq/pf/rdr.htmlКод: Выделить всё
server="192.168.0.50" ftp_port1=21 # Redirect for inner FTP server (active connection) rdr pass on $ext_if proto { tcp udp } from any to any port $ftp_port1 -> $server port $ftp_port1
Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)
Меня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:deny tcp from any to me 22 setup
Код: Выделить всё
deny tcp from any to me 22,23,25,110,443,80 setup
P.S. Везде свои плюсы и минусы.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw+nat встроенный
ага, хооливааар
дарагой voider
называть altq в pf аналогом dummynet в ipfw - ниправда
аналогов dummynet в pf неть
а altq это механизм вне фаера и больше относится собственно к драйверам сетевух
поэтому, сюрприз, altq можно пользовать во всех трех фаерах фри включая ipfw
далее механизм фильтрования mac адресов работает в связке pf+openbsd при фильтровании пакетов проходящих
через bridge и только там, во фрибсд такой радости в pf нет во всяком случае
в 6.2 релизе man bridge тишина и brconfig не существует
дарагой voider
называть altq в pf аналогом dummynet в ipfw - ниправда
аналогов dummynet в pf неть
а altq это механизм вне фаера и больше относится собственно к драйверам сетевух
поэтому, сюрприз, altq можно пользовать во всех трех фаерах фри включая ipfw
далее механизм фильтрования mac адресов работает в связке pf+openbsd при фильтровании пакетов проходящих
через bridge и только там, во фрибсд такой радости в pf нет во всяком случае
в 6.2 релизе man bridge тишина и brconfig не существует
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- voider
- лейтенант
- Сообщения: 830
- Зарегистрирован: 2008-02-21 20:35:03
- Откуда: msk
Re: ipfw+nat встроенный
веришь? мне пофигуdikens3 писал(а):
Нашёл что рассказать, и если на то пошло, то редирект - это не фаер, как и нат собственно. Его можно назвать отдельным сервисом встроенным в нат.
Фаервол - только фильтрация пакетов. Т.е всевозможные органичения/разграничения с трафиком. Если в PF добавить APACHE - это будет один из крутейших фаеров, уверяю. :-)
так добавь всю сетьМеня бесит когда такая конструкция развернётся, к примеру, в 5 правил (по количеству IP-Адресов). Тут PF отдыхает со своей конструкцией. Тоже самое с портами:Сколько будет правил при учёте, что IP-Адресов 5 штук? Дай угадаю - 30 правил, вместо одного?Код: Выделить всё
deny tcp from any to me 22,23,25,110,443,80 setup
P.S. Везде свои плюсы и минусы.
Код: Выделить всё
dmz_net = "192.168.0.0/24"