ipfw natd incoming

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

ipfw natd incoming

Непрочитанное сообщение Notaky » 2006-12-20 23:48:04

И снова дорого времени суток.
как пернаправить на natd входяшие пакеты с установленных уже сессий? Тоесть ....чтобы то что пришло само по себе тихо отбрасывалось....а то что пришло ответом на уже отправленые пакеты проходило.
Для примера:
если указать в первых правилах

Код: Выделить всё

check-state
allow tcp from any to me http in recv ${ext}
----Х-------
divert natd ip from any to any to any out xmit ${ext}
allow ip from me to any out xmit ${ext} keep-state
allow ip from any to any via ${int}
спрашивается куда влепить

Код: Выделить всё

divert ip from any to me in recv ${ext}
или правило похожее по смыслу,
чтобы решить проблемы указаную выше...
если влепить в в позицию Х, попадет ли чтото на него?
так как я понимаю, при приходе пакета ответа сработает ЧЕК-СТЕЙТ и правило уйдет с фаервола....(еще один вопрос) что же будет дальше если оно попадет на порт который открыл нат???(имеется в виду что нат мапит порты на внешнем интерфейсе и делает, так сказать, ассоциацию с портом на машине в локалки(ИМХО, точно незнаю)), тоесть пакет попадет автоматически на него? и далее с измененными заголовками попрется на второй проход фаервола, так ли это? и еще одно(возможно самое главное) ...если нат ненайдет ассоциации (открытого внешнего порта) что он сделает?(просто отбросит или же отправит чтото в ответ?)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-12-21 8:39:26

забей на чек-статы делай без них...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-21 19:18:00

да как бы уже без них давно было....с ними мне более нравиться...и смотреть на него проще и понятней...БЛИН ...что никто неможет подсказать???

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-12-22 11:35:37

# Входящий траффик с интернет на шлюз
# Пропускаем траффик, с уже установленным соединением
${fwcmd} add pass all from any to me in via ${ifout} established

# Разрешаем соединение по этим портам для своих IP-Адресов
${fwcmd} add pass tcp from ${allowgoodhosts} to me 22 in via ${ifout} limit dst-port 10

# Разрешаем входящие UDP. DNS пакеты имеет право принимать только DJBDNS (Traceroute порядка 10 запросов сразу использует, если нужно сделать больше)
${fwcmd} add pass udp from any 53 to me in via ${ifout} uid Gdnscache limit src-port 500

# log
${fwcmd} add deny log all from any to me in via ${ifout}


# Исходящий траффик в интернет с шлюза
#
# Прибиваем ненужный траффик
${fwcmd} add deny log all from me to table\(1\) out via ${ifout}

# Прибиваем ненужные порты наружу
${fwcmd} add deny all from me to any 137-139,445 out via ${ifout}

# Наружу серверу всё остальное разрешено
${fwcmd} add pass all from me to any out via ${ifout}
Что приходит ответом - established
keep-state (check state) жрут траффик. Процентов 30 точно. (Пришлось отказаться)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-22 16:46:31

keep-state (check state) жрут траффик. Процентов 30 точно. (Пришлось отказаться)
Как он может жрать трафик то?

в твоем примере я ната невижу..
вопрос стоял в том ...
что даже на established ловятся пакеты и...
делее что должно то быть?
поидеи так как пасс у тебя то они заканчивают свое прохождение по фаерволу и до ната недоходят!
или чтото я всеже непонимаю?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-12-25 18:33:34

В моём случае используется natd.
Я показал как использовать правила, чтобы обезопасить шлюз.
По такому же принципу делается для пользователей.
В таблице 1 у меня:

Код: Выделить всё

# ipfw table 1 l
0.0.0.0/8 0
10.0.0.0/8 0
169.254.0.0/16 0
172.16.0.0/12 0
192.0.2.0/24 0
192.168.0.0/16 0
224.0.0.0/4 0
240.0.0.0/4 0
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-25 20:19:56

Как говорилось в известном фильме- "Я дико извеняюсь!"
Но всеже или я ОЧЕНЬ плохо излагаю свои вопросы,
или никто их нечитает.
Я спрашивал....каким образом, пакет попавший на чек стейт, может оказаться на натд?
посмотрите пожалуйсто выше там это и спрашивалось.

chani
мл. сержант
Сообщения: 103
Зарегистрирован: 2006-09-19 0:15:01

Непрочитанное сообщение chani » 2006-12-25 22:21:02

а не пора ли на переходить на pf ?
ps: на крпартиве, посему пьян и могу нести чуш ....

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-12-26 0:09:00

Почему сразу чушь. обоснуй.
Его много кто советует, тока обосновать немогут - чего я такого получу чего у меня нет в IPFW и без чего я немогу жить....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-12-26 11:05:52

Notaky писал(а):Как говорилось в известном фильме- "Я дико извеняюсь!"
Но всеже или я ОЧЕНЬ плохо излагаю свои вопросы,
или никто их нечитает.
Я спрашивал....каким образом, пакет попавший на чек стейт, может оказаться на натд?
посмотрите пожалуйсто выше там это и спрашивалось.
Пробуй опытным путём.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-26 19:05:18

да как бы тазик боевой....и опыты немогу я на нем никак поставить...а создать ситуацию наподобии этой на другой машине..гемора очень много, вобщем неспрашивал..уже фиг знает где ... просто какбы ...это как я понимаю основа...без понимания которой нормально делать неполучится....вот и думал что один я (ну и пару знакомых) просто незнаем этой основы...а остальные более просвещены :?

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-26 19:07:52

chani писал(а):а не пора ли на переходить на pf ?
ps: на крпартиве, посему пьян и могу нести чуш ....
pf - хороший фаервол...но это только вопрос религии чем пользоватся,
какбы насчет него я тоже непослухам наслышан...но зачем мне менять шило на мыло на даной машине(машина неслабенькая, и то что нат невнутриядерный какбы ей до одного места)?

chani
мл. сержант
Сообщения: 103
Зарегистрирован: 2006-09-19 0:15:01

Непрочитанное сообщение chani » 2006-12-27 1:30:27

У меня на нескольких серверах ipfw, на нескольких pf
На шлюзе pf, потому что я могу с него через pfctl отдавать статистику по сессиям в cacti
И на выходе иметь красивый граффик как юзеры в инет ломились :-) Понятно что напрямую отношения к прямой функции фаера не имеет но как сделать на ipfw такое не знаю. И еще, товарищь работает в конторе провайдерской, говорит что на реально больших нагругках только такая связка пашет. И том уже тонкая материя типа правильных сетевух, у которых наиболее правильные дрова, пуллинг и тд

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-12-27 11:23:01

У меня ipacctd скидывает трафик каждую минуту, делай с ним что хошь после этого.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-12-27 15:47:13

В общем с snmp тоже неплохо показывается трафик, если можеш покажи что ты имел в виду с графиками ломившихся узверей. Он у меня и так показывает.

Аватара пользователя
Kolesnikov
рядовой
Сообщения: 42
Зарегистрирован: 2007-01-09 14:49:39
Откуда: г.Тайга

Непрочитанное сообщение Kolesnikov » 2007-01-10 9:51:50

Без вдавания в подробности,

Код: Выделить всё

divert 8668 ip from any to any in via fxp0
divert 8668 ip from any to any out via fxp0
pass ip from me to any
pass tcp from any to me estableshed
ТЕбе хоть куда, а до тебя только установленные сессии.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-10 12:55:32

Вобщем можно как хочеш писать, это все понятно.
Вопрос в том чем мой конфиг такой плохой?
Да разница между динамическими правилами и просто правилом для ТСП сессий с установленными флагами RST или ACK всетаки есть.
Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.

Аватара пользователя
Kolesnikov
рядовой
Сообщения: 42
Зарегистрирован: 2007-01-09 14:49:39
Откуда: г.Тайга

Непрочитанное сообщение Kolesnikov » 2007-01-11 9:19:36

Notaky писал(а): Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Правила фаервола на сессии никак не влияют. Если они установлены, то значит они проходят через keep-state правила тоже, и видны одинаково. При чем здесь правила?
И кто тебя будет сниферить? Хабы канули в прошлое, а провайдеру ты задаром не нужен.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-11 11:25:04

Kolesnikov писал(а): Правила фаервола на сессии никак не влияют. Если они установлены, то значит они проходят через keep-state правила тоже, и видны одинаково.
Какие сессии ты имеешь ввиду? Что ты понимаешь под словом сессия?
established != keep-state

keep-state запоминает кому отправлен пакет и правилом check-state он проверяет все динамически созданные правила.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-11 11:32:44

Notaky писал(а): Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Можно подробнее об этом?

Я вот твёрдо знаю что у Билла Гейтся огромная куча денег. Ну вижу я это и что? Я от этого нифига богаче не стал.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Kolesnikov
рядовой
Сообщения: 42
Зарегистрирован: 2007-01-09 14:49:39
Откуда: г.Тайга

Непрочитанное сообщение Kolesnikov » 2007-01-11 14:09:37

dikens3 писал(а): Какие сессии ты имеешь ввиду? Что ты понимаешь под словом сессия?
established != keep-state
Я имею ввиду открытые TCP сессии, например, установленная сессия telnet.
На счет неравенства -- кто ж спорит?
keep-state запоминает кому отправлен пакет и правилом check-state он проверяет все динамически созданные правила.
Полностью согласен.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-11 14:37:30

Notaky писал(а):Как говорилось в известном фильме- "Я дико извеняюсь!"
Но всеже или я ОЧЕНЬ плохо излагаю свои вопросы,
или никто их нечитает.
Я спрашивал....каким образом, пакет попавший на чек стейт, может оказаться на натд?
посмотрите пожалуйсто выше там это и спрашивалось.
Буду думать по ходу написания.

Код: Выделить всё

Вариант 1:
1. Пакет приходит с внешнего интерфейса.
Адрес назначения у него IP-Шлюза.
2. Срабатывает ipfw allow ... (или check-state в твоём случае) на входящем интерфейсе.
Всё, работа с этим пакетом закончена.
Но вот в чём вопрос, кому идёт этот пакет? Самому шлюзу или пользователю? Отсюда:

Код: Выделить всё

Вариант 2:
1. Пакет приходит с внешнего интерфейса.
Адрес назначения у него IP-Шлюза.
2. Срабатывает divert, но правила ipfw allow ... ещё нет
Адрес назначения у него IP-пользователя.
3. Срабатывает ipfw allow ... (или check-state в твоём случае) на входящем интерфейсе.
4. Срабатывает ipfw allow ... на выход с внутреннего интерфейса.
Всё, работа с этим пакетом закончена.
В итоге имеем следующее. divert должен быть раньше check-state.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-11 17:15:21

вопрос тогда к варианту 2 ....
прошедший нат пакет с измененным пунктом назначения...
проходя check-state поидеи неподпадет не под одно правило,
так как правило создавалось на базе внешнего адреса роутера и какогото хоста в мире.
и в конце прохода будет отброшен если по дефолту фаер закрыт.
Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Можно подробнее об этом?

Я вот твёрдо знаю что у Билла Гейтся огромная куча денег. Ну вижу я это и что? Я от этого нифига богаче не стал.
насчет поподробней...
если я буду знать что у тебя есть .... с этим можно работать...информания никогда небывает ненужной...просто найти ей применение.
Чтобы конкретней чтото сказать...нужно смотреть на реализацию данного tcp/ip и тестить. [/quote]

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-11 17:24:19

Kolesnikov писал(а):
Notaky писал(а): Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Правила фаервола на сессии никак не влияют. Если они установлены, то значит они проходят через keep-state правила тоже, и видны одинаково. При чем здесь правила?
И кто тебя будет сниферить? Хабы канули в прошлое, а провайдеру ты задаром не нужен.
вот часть этого поста мне никак непонятна...
кто сказал что я правила с сессиями както соединял..я вот сижу и думаю.... интересно каким чудом пришла мысль о снифинге? и как бы влияло(ет) keep-state на снифинг?
а то что провайдеру попадает....то только ipsec можно изменить ситуацию, независимо отвашего фаервола в остальных случаях ситуация неменяется.

Аватара пользователя
Kolesnikov
рядовой
Сообщения: 42
Зарегистрирован: 2007-01-09 14:49:39
Откуда: г.Тайга

Непрочитанное сообщение Kolesnikov » 2007-01-11 18:21:41

Notaky писал(а):вот часть этого поста мне никак непонятна...
кто сказал что я правила с сессиями както соединял..я вот сижу и думаю.... интересно каким чудом пришла мысль о снифинге?
А чем у тебя еще могут увидеть установленные(established) :P в данный момент сессии?
А если долбежкой :twisted: по портам, то при чем здесь established?
Notaky писал(а):Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Вырази свою мысль правильно и тогда демагогии не будет.