ipfw+natd - не работает нормально redirect_port

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
anykey
рядовой
Сообщения: 12
Зарегистрирован: 2007-08-01 0:21:12

ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение anykey » 2008-04-21 18:33:25

Добрый день!
Народ подскажите пожалуйста, прблема собствено до конца неясна. Проборос портов внутрь локалки работает нормально, но до поры до времени. и как обычно в самый нужный момент всё перестает рабоать. Вот и сейчас так, с утра всё работало отлично, а через час всё отвалилось, просто не пускает на локальную машину внутрь локалки, хотя до этого работало всё отлично потом перестало... в чём может быть проблема не понимаю...
вылаживаю на всеобщее обозрение настройки:

Код: Выделить всё

/home/anykey/>uname -a
FreeBSD mydomain.ua 6.2-RELEASE FreeBSD 6.2-RELEASE #21: Thu Feb 21 02:02:04 EET 2008     anykey@mydomain.ua:/usr/obj/usr/src/sys/server  i386

Код: Выделить всё

/home/anykey/>cat /etc/rc.conf
# -- sysinstall generated deltas -- # Mon Jul 16 14:44:10 2007
# Created: Mon Jul 16 14:44:10 2007
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.

natd_enable="YES"
natd_flags="-f /etc/natd0.conf"
natd2_enable="YES"
natd2_flags="-f /etc/natd1.conf"

firewall_enable="YES"
firewall_script="/etc/firewall"
defaultrouter="xxx.xxx.xxx.xxx"

gateway_enable="YES"

hostname="mydomain.ua"

named_enable="YES"

# Интерфейс смотрящий в инет
ifconfig_vr0="inet yyy.yyy.yyy.yyy netmask 255.255.255.248"

# Интерфейс смотрящий в локалку конторы
ifconfig_em0="inet 192.168.10.1  netmask 255.255.255.0"
ifconfig_em0_alias0="inet 192.168.20.1 netmask 255.255.255.0"

# Интерфейс смотрящий в локалку провайдера
ifconfig_em1="inet 192.168.115.2 netmask 255.255.255.0"

inetd_enable="NO"

tcp_extensions="NO"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
portmap_enable="NO"
clear_tmp_enable="YES"
log_in_vain="YES"
fsck_y_enable="YES"
syslogd_enable="YES"
syslogd_flags="-ss"

# Кодовая страница для
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.cp1251"

linux_enable="YES"
mousechar_start="3"
scrnmap="win2cpp866"

sendmail_enable="NONE"
sshd_enable="YES"
usbd_enable="NO"

# MySQL server
mysql_enable="YES"
ng_ipacct_enable=YES

Код: Выделить всё

/home/anykey/>cat /etc/natd0.conf
interface vr0
log yes
use_sockets yes
same_ports yes
port 8668
unregistered_only yes
redirect_port tcp 192.168.10.220:6502 6535
redirect_port udp 192.168.10.220:6502 6535
redirect_port tcp 192.168.10.221:6502 6536
redirect_port udp 192.168.10.221:6502 6536
redirect_port tcp 192.168.10.223:6502 6537
redirect_port udp 192.168.10.223:6502 6537
redirect_port tcp 192.168.10.224:6502 6538
redirect_port udp 192.168.10.224:6502 6538
redirect_port tcp 192.168.10.226:6502 6539
redirect_port udp 192.168.10.226:6502 6539
redirect_port tcp 192.168.10.227:6502 6540
redirect_port udp 192.168.10.227:6502 6540

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw"

LanOut0="vr0"           # внешний интерфейс смотрящий в инет
LanOut1="em1"			# внешний интерфейс смотрящий в локалку провайдера
LanIn="em0"				# внутрений интерфейс смотрящий в локальную сеть предприятия

IpOut0="yyy.yyy.yyy.yyy" 	# внешние IP сервака
IpOut1="192.168.115.2"	

IpIn1="192.168.10.1"  	# внутренние IP сервака
IpIn2="192.168.20.1"

NetMask0="29"
NetMask1="24"			# маска сети

IpNet1="192.168.10"
IpNet2="192.168.20"

# Внутренние сети
Net1="192.168.10.0"
Net2="192.168.20.0"

www_port="80,443"
ftp_port="20,21"
dns_port="53"
ssh_port="22"
icq_port="5190"
irc_port="6667"
mail_port="25,110"
mail_port_tls="465,995"
netbios_port="445"

# сбрасываем все правила
${FwCMD} -f flush
# сбрасываем все pipe
${FwCMD} -f pipe flush
# сбрасываем очереди
${FwCMD} -f queue flush

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
${FwCMD} add allow ip from any to any via lo0

# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас 
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 0.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 0.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 10.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 10.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 14.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 14.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 23.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 23.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 24.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 24.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 27.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 27.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 31.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 31.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 36.0.0.0/7 in recv ${LanOut0}
${FwCMD} add deny ip from any to 36.0.0.0/7 in recv ${LanOut1}
${FwCMD} add deny ip from any to 39.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 39.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 42.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 42.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 46.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 46.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 49.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 49.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 50.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 50.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 100.0.0.0/6 in recv ${LanOut0}
${FwCMD} add deny ip from any to 100.0.0.0/6 in recv ${LanOut1}
${FwCMD} add deny ip from any to 104.0.0.0/5 in recv ${LanOut0}
${FwCMD} add deny ip from any to 104.0.0.0/5 in recv ${LanOut1}
${FwCMD} add deny ip from any to 112.0.0.0/7 in recv ${LanOut0}
${FwCMD} add deny ip from any to 112.0.0.0/7 in recv ${LanOut1}
${FwCMD} add deny ip from any to 127.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 127.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 128.0.0.0/16 in recv ${LanOut0}
${FwCMD} add deny ip from any to 128.0.0.0/16 in recv ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in recv ${LanOut0}
${FwCMD} add deny ip from any to 169.254.0.0/16 in recv ${LanOut1}
${FwCMD} add deny ip from any to 172.16.0.0/12 in recv ${LanOut0}
${FwCMD} add deny ip from any to 172.16.0.0/12 in recv ${LanOut1}
${FwCMD} add deny ip from any to 175.0.0.0/8 in recv ${LanOut0}
${FwCMD} add deny ip from any to 175.0.0.0/8 in recv ${LanOut1}
${FwCMD} add deny ip from any to 176.0.0.0/5 in recv ${LanOut0}
${FwCMD} add deny ip from any to 176.0.0.0/5 in recv ${LanOut1}
${FwCMD} add deny ip from any to 184.0.0.0/7 in recv ${LanOut0}
${FwCMD} add deny ip from any to 184.0.0.0/7 in recv ${LanOut1}
${FwCMD} add deny ip from any to 191.255.0.0/16 in recv ${LanOut0}
${FwCMD} add deny ip from any to 191.255.0.0/16 in recv ${LanOut1}
${FwCMD} add deny ip from any to 192.0.0.0/24 in recv ${LanOut0}
${FwCMD} add deny ip from any to 192.0.0.0/24 in recv ${LanOut1}
${FwCMD} add deny ip from any to 192.0.2.0/24 in recv ${LanOut0}
${FwCMD} add deny ip from any to 192.0.2.0/24 in recv ${LanOut1}
${FwCMD} add deny ip from any to 192.88.99.0/24 in recv ${LanOut0}
${FwCMD} add deny ip from any to 192.88.99.0/24 in recv ${LanOut1}
${FwCMD} add deny ip from any to 192.18.0.0/15 in recv ${LanOut0}
${FwCMD} add deny ip from any to 192.18.0.0/15 in recv ${LanOut1}
${FwCMD} add deny ip from any to 192.168.0.0/16 in recv ${LanOut0}
${FwCMD} add deny ip from any to 223.255.255.0/24 in recv ${LanOut0}
${FwCMD} add deny ip from any to 223.255.255.0/24 in recv ${LanOut1}
${FwCMD} add deny ip from any to 240.0.0.0/4 in recv ${LanOut0}
${FwCMD} add deny ip from any to 240.0.0.0/4 in recv ${LanOut1}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in recv ${LanOut0}
${FwCMD} add deny log icmp from any to 255.255.255.255 in recv ${LanOut1}
${FwCMD} add deny log icmp from any to 255.255.255.255 out xmit ${LanOut0}
${FwCMD} add deny log icmp from any to 255.255.255.255 out xmit ${LanOut1}

# пропускаем траффик через трансляцию сетевых адресов (NAT)
# natd0 - yyy.yyy.yyy.yyy
ipfw add divert 8668 ip from ${Net1}/${NetMask1} to any out xmit vr0
ipfw add divert 8668 ip from ${Net2}/${NetMask1} to any out xmit vr0
ipfw add divert 8668 ip from any to ${IpOut0} in recv vr0
# natd1 
ipfw add divert 8669 ip from ${Net1}/${NetMask1} to any out xmit em1
ipfw add divert 8669 ip from ${Net2}/${NetMask1} to any out xmit em1
ipfw add divert 8669 ip from any to ${IpOut1} in recv em1


# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut0}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut1}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut0}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut1}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut0}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut0}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut1}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut0}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut1}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut0}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut1}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut0}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut1}

# блокируем некоторые попытки скана и спуфинг
${FwCMD} add deny log ip from any to any not verrevpath in
#Запрещаем пакеты с некорректными TCP-флагами 
# nmap -sN <host> : TCP Null
${FwCMD} add deny log tcp from any to any tcpflags !'fin',!'syn',!'rst',!'psh',!'ack',!'urg'
${FwCMD} add deny log tcp from any to any tcpflags !'syn',!'ack',!'rst'
# nmap -sX <host> : Xmas scans
${FwCMD} add deny log tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
${FwCMD} add deny log tcp from any to any tcpflags syn,fin,urg,psh,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags syn,fin,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags fin,urg,psh,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags fin,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags urg,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags psh,!'ack'
${FwCMD} add deny log tcp from any to any tcpflags syn,fin
# nmap -sF <host> : FIN scan
${fwcmd} add deny log tcp from any to any not established tcpflags fin
# Deny Stealth scans: nmap -sS <host> : TCP SYN stealth port scan (best all-around TCP scan)
${FwCMD} add deny log tcp from any to any not established tcpflags syn,ack
${FwCMD} add deny tcp from any to any tcpflags !'fin',!'syn',!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags !'fin',!'syn',!'rst',!'psh',!'ack',!'urg'
${FwCMD} add deny tcp from any to any tcpflags fin,!'syn',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,!syn,!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,psh,urg
${FwCMD} add deny tcp from any to any tcpflags fin,psh,urg,!'syn',!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,psh,urg,!'syn',!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,syn,!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,syn,!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,syn,psh,urg,!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags fin,syn,psh,urg,!'rst',!'ack'
${FwCMD} add deny tcp from any to any tcpflags psh,!'fin',!'syn',!'rst',!'ack',!'urg'
${FwCMD} add deny tcp from any to any tcpflags psh,!'fin',!'syn',!'rst',!'ack',!'urg'
${FwCMD} add deny tcp from any to any tcpflags rst,!'fin',!'syn'
${FwCMD} add deny tcp from any to any tcpflags urg,!'fin',!'syn',!'rst',!'ack'

# Отбрасываем пакеты с нестандартными IP-опциями
${FwCMD} add deny log ip from any to any ipoptions ssrr
${FwCMD} add deny log ip from any to any ipoptions lsrr
${FwCMD} add deny log ip from any to any ipoptions rr
# Запрещаем пакеты с Timestampf
${FwCMD} add deny log ip from any to any ipoptions ts

${FwCMD} add deny icmp from any to any via vr0

# запрещаем форвардинг между сетями
${FwCMD} add deny ip from ${Net2}/${NetMask1} to ${Net1}/${NetMask1} via em0
${FwCMD} add deny ip from ${Net1}/${NetMask1} to ${Net2}/${NetMask1} via em0

# разрешаем DNS запросы - Server
${FwCMD} add allow udp from any to ${IpOut0} ${dns_port} in recv vr0
${FwCMD} add allow udp from ${IpOut0} ${dns_port} to any out xmit vr0
${FwCMD} add allow udp from any ${dns_port} to ${IpOut0} in recv vr0
${FwCMD} add allow udp from ${IpOut0} to any ${dns_port} out xmit vr0
${FwCMD} add allow tcp from any to ${IpOut0} ${dns_port} in recv vr0 setup
${FwCMD} add allow udp from 192.168.10.0/24 to 192.168.10.1 53 in recv em0
${FwCMD} add allow udp from 192.168.10.1 53 to 192.168.10.0/24 out xmit em0
${FwCMD} add allow udp from 192.168.20.0/24 to 192.168.20.1 53 in recv em0
${FwCMD} add allow udp from 192.168.20.1 53 to 192.168.20.0 53 out xmit em0

# блокируем все попытки подключения снаружи к серверу
${FwCMD} add allow ip from ${IpOut0} to any out xmit vr0
${FwCMD} add deny log all from any to ${IpOut0} 22 in recv vr0
${FwCMD} add deny ip from any to ${IpOut0} in recv vr0

# разрешаем серверу ходить в локалку прова 
${FwCMD} add allow tcp from ${IpOut1} to any out xmit em1

#SSH
${FwCMD} add allow tcp from 192.168.115.3 to ${IpOut1} ${ssh_port} in recv em1

${FwCMD} add deny ip from any to ${IpOut1} in recv em1


${FwCMD} add allow ip from 192.168.10.2 to any
${FwCMD} add allow ip from any to 192.168.10.2 via vr0
${FwCMD} add allow ip from any to 192.168.10.2 via em0
${FwCMD} add allow ip from any to 192.168.10.2 via em1

${FwCMD} add allow tcp from ${IpNet1}.16 to any ${ftp_port},${www_port} in recv em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.16 out xmit em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.16 in recv vr0

${FwCMD} add allow tcp from ${IpNet1}.17 to any ${ftp_port},${www_port} in recv em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.17 out xmit em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.17 in recv vr0

.....

${FwCMD} add allow tcp from ${IpNet1}.61 to any ${ftp_port},${www_port} in recv em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.61 out xmit em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port} to ${IpNet1}.61 in recv vr0
${FwCMD} add allow tcp from ${IpNet1}.61 to any 445 in recv em0
${FwCMD} add allow tcp from any 445 to ${IpNet1}.61 out xmit em0
${FwCMD} add allow tcp from any 445 to ${IpNet1}.61 in recv em1


#ВОТ на эти машины и делаецо проброс портов

${FwCMD} add allow ip from 192.168.10.220 to any
${FwCMD} add allow tcp from any to 192.168.10.220 6502 in recv vr0
${FwCMD} add allow udp from any to 192.168.10.220 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.220 via vr0
${FwCMD} add allow ip from any to 192.168.10.220 via em0 

${FwCMD} add allow ip from 192.168.10.221 to any
${FwCMD} add allow tcp from any to 192.168.10.221 6502 in recv vr0
${FwCMD} add allow udp from any to 192.168.10.221 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.221 via vr0
${FwCMD} add allow ip from any to 192.168.10.221 via em0

${FwCMD} add allow ip from 192.168.10.223 to any 
${FwCMD} add allow tcp from any to 192.168.10.223 6502 in recv vr0
${FwCMD} add allow udp from any to 192.168.10.223 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.223 via vr0
${FwCMD} add allow ip from any to 192.168.10.223 via em0

${FwCMD} add allow ip from 192.168.10.224 to any 
${FwCMD} add allow tcp from any to 192.168.10.224 6502 in recv vr0
${FwCMD} add allow udp from any to 192.168.10.224 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.224 via vr0
${FwCMD} add allow ip from any to 192.168.10.224 via em0

${FwCMD} add allow ip from 192.168.10.226 to any
${FwCMD} add allow tcp from any to 192.168.10.226 6502 in ercv vr0
${FwCMD} add allow udp from any to 192.168.10.226 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.226 via vr0
${FwCMD} add allow ip from any to 192.168.10.226 via em0

${FwCMD} add allow ip from 192.168.10.227 to any 
${FwCMD} add allow tcp from any to 192.168.10.226 6502 in ercv vr0
${FwCMD} add allow udp from any to 192.168.10.226 6502 in recv vr0
${FwCMD} add allow ip from any to 192.168.10.227 via vr0
${FwCMD} add allow ip from any to 192.168.10.227 via em0

${FwCMD} add allow tcp from ${IpNet2}.11 to any ${ftp_port},${www_port},${mail_port},${icq_port} in recv em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port},${mail_port},${icq_port} to ${IpNet2}.11 out xmit em0
${FwCMD} add allow tcp from any ${ftp_port},${www_port},${mail_port},${icq_port} to ${IpNet2}.11 in recv vr0
${FwCMD} add allow tcp from ${IpNet2}.11 to any 445 in recv em0
${FwCMD} add allow tcp from any 445 to ${IpNet2}.11 out xmit em0
${FwCMD} add allow tcp from any 445 to ${IpNet2}.11 in recv em1
вроди всё...
Народ подскажите ПЛЗ. а то мой моск отказываецо понимать чего либо :?
Может у кого есть какие идеи на этот счёт?
Заранее благодарен всем за оказаную помощь.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение hizel » 2008-04-21 19:53:47

лучше вы ipfw show показали бы ;)
откуда у вас столько частных сетей, вы зачем полинтернета забанили? :shock:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anykey
рядовой
Сообщения: 12
Зарегистрирован: 2007-08-01 0:21:12

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение anykey » 2008-04-22 2:28:21

hizel писал(а):лучше вы ipfw show показали бы ;)
откуда у вас столько частных сетей, вы зачем полинтернета забанили? :shock:
Пожалуй на этот вопрос ответить лучше сможет вот эта статья http://firewall.net.ua/twiki/bin/view/M ... ewallRules, а насчет вывода ipfw show сделаемс утром) :)
Имхо читаем доки и сопутствующие материалы... иногда попадаються оченьинтересные вещи, если в чем не прав прошу не винить...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение hizel » 2008-04-22 8:21:55

гм, это штоже там, те ip которые еще не выделены суются
тогда гламурнее было бы использовать таблицы ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anykey
рядовой
Сообщения: 12
Зарегистрирован: 2007-08-01 0:21:12

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение anykey » 2008-04-22 10:43:07

Доброе утро всем! Вот кусок вывода ipfw show

Код: Выделить всё

/home/anykey/>ipfw show
00100     240      21190 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400       0          0 deny ip from any to 0.0.0.0/8 in recv vr0
00500       0          0 deny ip from any to 0.0.0.0/8 in recv em1
00600      21       2585 deny ip from any to 10.0.0.0/8 in recv vr0
00700      21       2585 deny ip from any to 10.0.0.0/8 in recv em1
00800       0          0 deny ip from any to 14.0.0.0/8 in recv vr0
00900       0          0 deny ip from any to 14.0.0.0/8 in recv em1
01000       0          0 deny ip from any to 23.0.0.0/8 in recv vr0
01100       0          0 deny ip from any to 23.0.0.0/8 in recv em1
01200       0          0 deny ip from any to 24.0.0.0/8 in recv vr0
01300       0          0 deny ip from any to 24.0.0.0/8 in recv em1
01400       0          0 deny ip from any to 27.0.0.0/8 in recv vr0
01500       0          0 deny ip from any to 27.0.0.0/8 in recv em1
01600       0          0 deny ip from any to 31.0.0.0/8 in recv vr0
01700       0          0 deny ip from any to 31.0.0.0/8 in recv em1
01800       0          0 deny ip from any to 36.0.0.0/7 in recv vr0
01900       0          0 deny ip from any to 36.0.0.0/7 in recv em1
02000       0          0 deny ip from any to 39.0.0.0/8 in recv vr0
02100       0          0 deny ip from any to 39.0.0.0/8 in recv em1
02200       0          0 deny ip from any to 42.0.0.0/8 in recv vr0
02300       0          0 deny ip from any to 42.0.0.0/8 in recv em1
02400       0          0 deny ip from any to 46.0.0.0/8 in recv vr0
02500       0          0 deny ip from any to 46.0.0.0/8 in recv em1
02600       0          0 deny ip from any to 49.0.0.0/8 in recv vr0
02700       0          0 deny ip from any to 49.0.0.0/8 in recv em1
02800       0          0 deny ip from any to 50.0.0.0/8 in recv vr0
02900       0          0 deny ip from any to 50.0.0.0/8 in recv em1
03000       0          0 deny ip from any to 100.0.0.0/6 in recv vr0
03100       0          0 deny ip from any to 100.0.0.0/6 in recv em1
03200       0          0 deny ip from any to 104.0.0.0/5 in recv vr0
03300       0          0 deny ip from any to 104.0.0.0/5 in recv em1
03400       0          0 deny ip from any to 112.0.0.0/7 in recv vr0
03500       0          0 deny ip from any to 112.0.0.0/7 in recv em1
03600       0          0 deny ip from any to 127.0.0.0/8 in recv vr0
03700       0          0 deny ip from any to 127.0.0.0/8 in recv em1
03800       0          0 deny ip from any to 128.0.0.0/16 in recv vr0
03900     472      52181 deny ip from any to 169.254.0.0/16 in recv vr0
04000     472      52181 deny ip from any to 169.254.0.0/16 in recv em1
04100       0          0 deny ip from any to 172.16.0.0/12 in recv vr0
04200       0          0 deny ip from any to 172.16.0.0/12 in recv em1
04300       0          0 deny ip from any to 175.0.0.0/8 in recv vr0
04400       0          0 deny ip from any to 175.0.0.0/8 in recv em1
04500       0          0 deny ip from any to 176.0.0.0/5 in recv vr0
04600       0          0 deny ip from any to 176.0.0.0/5 in recv em1
04700       0          0 deny ip from any to 184.0.0.0/7 in recv vr0
04800       0          0 deny ip from any to 184.0.0.0/7 in recv em1
04900       0          0 deny ip from any to 191.255.0.0/16 in recv vr0
05000       0          0 deny ip from any to 191.255.0.0/16 in recv em1
05100       0          0 deny ip from any to 192.0.0.0/24 in recv vr0
05200       0          0 deny ip from any to 192.0.0.0/24 in recv em1
05300       0          0 deny ip from any to 192.0.2.0/24 in recv vr0
05400       0          0 deny ip from any to 192.0.2.0/24 in recv em1
05500       0          0 deny ip from any to 192.88.99.0/24 in recv vr0
05600       0          0 deny ip from any to 192.88.99.0/24 in recv em1
05700       0          0 deny ip from any to 192.18.0.0/15 in recv vr0
05800       0          0 deny ip from any to 192.18.0.0/15 in recv em1
05900   64480    6440600 deny ip from any to 192.168.0.0/16 in recv vr0
06000       0          0 deny ip from any to 223.255.255.0/24 in recv vr0
06100       0          0 deny ip from any to 223.255.255.0/24 in recv em1
06200    2535     290644 deny ip from any to 240.0.0.0/4 in recv vr0
06300    2535     290644 deny ip from any to 240.0.0.0/4 in recv em1
06400       0          0 deny icmp from any to any frag
06500       0          0 deny log logamount 100 icmp from any to 255.255.255.255 in recv vr0
06600       0          0 deny log logamount 100 icmp from any to 255.255.255.255 in recv em1
06700       0          0 deny log logamount 100 icmp from any to 255.255.255.255 out xmit vr0
06800       0          0 deny log logamount 100 icmp from any to 255.255.255.255 out xmit em1
06900  269927   28050033 divert 8668 ip from 192.168.10.0/24 to any out xmit vr0
07000   37584    6298343 divert 8668 ip from 192.168.20.0/24 to any out xmit vr0
07100  425530  474517818 divert 8668 ip from any to yyy.yyy.yyy.yyy in recv vr0
07200   76736    4594888 divert 8669 ip from 192.168.10.0/24 to any out xmit em1
07300       0          0 divert 8669 ip from 192.168.20.0/24 to any out xmit em1
07400  800965  242316529 divert 8669 ip from any to 192.168.115.2 in recv em1
07500       0          0 deny ip from 10.0.0.0/8 to any out via vr0
07600       0          0 deny ip from 10.0.0.0/8 to any out via em1
07700       0          0 deny ip from 172.16.0.0/12 to any out via vr0
07800       0          0 deny ip from 172.16.0.0/12 to any out via em1
07900       0          0 deny ip from 192.168.0.0/16 to any out via vr0
08000       0          0 deny ip from 0.0.0.0/8 to any out via vr0
08100       0          0 deny ip from 0.0.0.0/8 to any out via em1
08200       0          0 deny ip from 169.254.0.0/16 to any out via vr0
08300       0          0 deny ip from 169.254.0.0/16 to any out via em1
08400       0          0 deny ip from 224.0.0.0/4 to any out via vr0
08500       0          0 deny ip from 224.0.0.0/4 to any out via em1
08600       0          0 deny ip from 240.0.0.0/4 to any out via vr0
08700       0          0 deny ip from 240.0.0.0/4 to any out via em1
08800   11795    1183944 deny log logamount 100 ip from any to any not verrevpath in
08900       0          0 deny log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
09000       0          0 deny log logamount 100 tcp from any to any tcpflags !syn,!ack,!rst
09100       0          0 deny log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
09200       0          0 deny log logamount 100 tcp from any to any tcpflags syn,fin,!ack,psh,urg
09300       0          0 deny log logamount 100 tcp from any to any tcpflags syn,fin,!ack
09400       0          0 deny log logamount 100 tcp from any to any tcpflags fin,!ack,psh,urg
09500       0          0 deny log logamount 100 tcp from any to any tcpflags fin,!ack
09600       0          0 deny log logamount 100 tcp from any to any tcpflags !ack,urg
09700       0          0 deny log logamount 100 tcp from any to any tcpflags !ack,psh
09800       0          0 deny log logamount 100 tcp from any to any tcpflags syn,fin
09900       0          0 deny log logamount 100 tcp from any to any not established tcpflags syn,ack
10000       0          0 deny tcp from any to any tcpflags !syn,!fin,!ack,!rst
10100       0          0 deny tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
10200       0          0 deny tcp from any to any tcpflags !syn,fin,!ack
10300       0          0 deny tcp from any to any tcpflags !syn,fin,!ack,!rst
10400       0          0 deny tcp from any to any tcpflags fin,psh,urg
10500       0          0 deny tcp from any to any tcpflags !syn,fin,!ack,psh,!rst,urg
10600       0          0 deny tcp from any to any tcpflags !syn,fin,!ack,psh,!rst,urg
10700       0          0 deny tcp from any to any tcpflags syn,fin,!ack
10800       0          0 deny tcp from any to any tcpflags syn,fin,!ack,!rst
10900       0          0 deny tcp from any to any tcpflags syn,fin,!ack,psh,!rst,urg
11000       0          0 deny tcp from any to any tcpflags syn,fin,!ack,psh,!rst,urg
11100       0          0 deny tcp from any to any tcpflags !syn,!fin,!ack,psh,!rst,!urg
11200       0          0 deny tcp from any to any tcpflags !syn,!fin,!ack,psh,!rst,!urg
11300   22378     895184 deny tcp from any to any tcpflags !syn,!fin,rst
11400       0          0 deny tcp from any to any tcpflags !syn,!fin,!ack,!rst,urg
11500       0          0 deny log logamount 100 ip from any to any ipoptions ssrr
11600       0          0 deny log logamount 100 ip from any to any ipoptions lsrr
11700       0          0 deny log logamount 100 ip from any to any ipoptions rr
11800       0          0 deny log logamount 100 ip from any to any ipoptions ts
11900       0          0 deny log logamount 100 icmp from any to any not icmptypes 0,3,8,11
12000       0          0 deny ip from 192.168.20.0/24 to 192.168.10.0/24 via em0
12100       0          0 deny ip from 192.168.10.0/24 to 192.168.20.0/24 via em0
12200    2673     618986 allow udp from any to yyy.yyy.yyy.yyy dst-port 53 in recv vr0
12300    2679     199441 allow udp from yyy.yyy.yyy.yyy 53 to any out xmit vr0
12400    2229     137825 allow udp from 192.168.10.0/24 to 192.168.10.1 dst-port 53 in recv em0
12500    2229     487428 allow udp from 192.168.10.1 53 to 192.168.10.0/24 out xmit em0
12600     356      22113 allow udp from 192.168.20.0/24 to 192.168.20.1 dst-port 53 in recv em0
12700     356      67638 allow udp from 192.168.20.1 53 to 192.168.20.0/24 out xmit em0
12800  307511   34348376 allow ip from yyy.yyy.yyy.yyy to any out xmit vr0
12900       8        456 deny log logamount 100 ip from any to yyy.yyy.yyy.yyy dst-port 22 in recv vr0
13000    3976     256980 deny ip from any to yyy.yyy.yyy.yyy in recv vr0
13100 1055652 1471917708 allow tcp from 192.168.115.2 to any out xmit em1
13200     559      40508 allow tcp from 192.168.115.3 to 192.168.115.2 dst-port 22 in recv em1
13600  646952   25878744 allow tcp from 192.168.115.3 to 192.168.115.2 dst-port 20,21 in recv em1
13700      68       4518 deny ip from any to 192.168.115.2 in recv em1
13800   34606    2360010 allow ip from 192.168.10.2 to any
14100   25796   15591995 allow ip from any to 192.168.10.2 via vr0
14200   58016   24494668 allow ip from any to 192.168.10.2 via em0
14400    8330    1323285 allow tcp from 192.168.10.16 to any dst-port 20,21,80,443 in recv em0
14500   11116   11471740 allow tcp from any 20,21,80,443 to 192.168.10.16 out xmit em0
14600   11116   11471740 allow tcp from any 20,21,80,443 to 192.168.10.16 in recv vr0
......
24000  169994   14794140 allow tcp from 192.168.10.62 to any dst-port 20,21,80,443 in recv em0
24100  227097  297159155 allow tcp from any 20,21,80,443 to 192.168.10.62 out xmit em0
24200  227097  297159155 allow tcp from any 20,21,80,443 to 192.168.10.62 in recv vr0
24300   61479    3421709 allow tcp from 192.168.10.62 to any dst-port 445 in recv em0
24400  129753  185249802 allow tcp from any 445 to 192.168.10.62 out xmit em0
24500  129753  185249802 allow tcp from any 445 to 192.168.10.62 in recv em1
24600    6615     877290 allow tcp from 192.168.10.63 to any dst-port 20,21,80,443 in recv em0
24700    8765    8867308 allow tcp from any 20,21,80,443 to 192.168.10.63 out xmit em0
24800    8765    8867308 allow tcp from any 20,21,80,443 to 192.168.10.63 in recv vr0
25800   18629    1582919 allow tcp from 192.168.10.67 to any dst-port 20,21,80,443 in recv em0
25900   31970   41268839 allow tcp from any 20,21,80,443 to 192.168.10.67 out xmit em0
26000   31970   41268839 allow tcp from any 20,21,80,443 to 192.168.10.67 in recv vr0
26100      16       2304 allow tcp from 192.168.10.67 to any dst-port 445 in recv em0
26200      13       1892 allow tcp from any 445 to 192.168.10.67 out xmit em0
26300      13       1892 allow tcp from any 445 to 192.168.10.67 in recv em1
26400    1069     104197 allow ip from 192.168.10.220 to any
26500       0          0 allow tcp from any to 192.168.10.220 dst-port 6502 via vr0
26600       0          0 allow udp from any to 192.168.10.220 dst-port 6502 via vr0
26700       0          0 allow ip from any to 192.168.10.220 via vr0
26800       0          0 allow ip from any to 192.168.10.220 via em0
26900       0          0 deny ip from any to 192.168.10.220 via em1
27000    1831     177167 allow ip from 192.168.10.221 to any
27100       0          0 allow tcp from any to 192.168.10.221 dst-port 6502 via vr0
27200       0          0 allow udp from any to 192.168.10.221 dst-port 6502 via vr0
27300       0          0 allow ip from any to 192.168.10.221 via vr0
27400       0          0 allow ip from any to 192.168.10.221 via em0
27500       0          0 deny ip from any to 192.168.10.221 via em1
27600    1302     129663 allow ip from 192.168.10.223 to any
27700       3        156 allow tcp from any to 192.168.10.223 dst-port 6502 via vr0
27800       0          0 allow udp from any to 192.168.10.223 dst-port 6502 via vr0
27900       0          0 allow ip from any to 192.168.10.223 via vr0
28000       3        156 allow ip from any to 192.168.10.223 via em0
28100       0          0 deny ip from any to 192.168.10.223 via em1
28200     699      81001 allow ip from 192.168.10.224 to any
28300       0          0 allow tcp from any to 192.168.10.224 dst-port 6502 via vr0
28400       0          0 allow udp from any to 192.168.10.224 dst-port 6502 via vr0
28500       0          0 allow ip from any to 192.168.10.224 via vr0
28600       0          0 allow ip from any to 192.168.10.224 via em0
28700       0          0 deny ip from any to 192.168.10.224 via em1
28800    1749     491896 allow ip from 192.168.10.226 to any
28900    1286      95283 allow tcp from 80.122.24.114 to 192.168.10.226 dst-port 6502 via vr0
29000       0          0 allow udp from 80.122.24.114 to 192.168.10.226 dst-port 6502 via vr0
29100       0          0 allow ip from any to 192.168.10.226 via vr0
29200    1286      95283 allow ip from any to 192.168.10.226 via em0
29300       0          0 deny ip from any to 192.168.10.226 via em1
29400     242      27610 allow ip from 192.168.10.227 to any
29500       0          0 allow tcp from any to 192.168.10.227 dst-port 6502 via vr0
29600       0          0 allow udp from any to 192.168.10.227 dst-port 6502 via vr0
29700       0          0 allow ip from any to 192.168.10.227 via vr0
29800       0          0 allow ip from any to 192.168.10.227 via em0
29900       0          0 deny ip from any to 192.168.10.227 via em1
30000   30051    5463314 allow ip from 192.168.20.11 to any
30100   34931   31842068 allow ip from any to 192.168.20.11 via vr0
30200   34931   31842068 allow ip from any to 192.168.20.11 via em0
30300    7833     873994 allow log logamount 100 ip from 192.168.20.13 to any
30400    9787    8262925 allow log logamount 100 ip from any to 192.168.20.13 via vr0
30500    9787    8262925 allow log logamount 100 ip from any to 192.168.20.13 via em0
65535   98438    8814576 deny ip from any to any
Насчёт таблиц, согласен, здесь не самое красивое решение), но пока нехватает времени, сейчас полным ходом идет модернизация сети, замена кабелей, прокладка по новой, вобщем самое банальное... нехватка времени.

Интересный прикол... сегодня с утра удалёный доступ работает :D !!!! Может ли кто объяснить подобную ситуацию???
Я отказываюсь понимать чего либо. Сейчас думаю переделать с использованием ipnat. Имхо там как-то логичнее и проще реализация проброса портов. Но с другой стороны это не решает проблему. Почему с использованием natd такие гглюки :?

anykey
рядовой
Сообщения: 12
Зарегистрирован: 2007-08-01 0:21:12

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение anykey » 2008-04-22 11:37:17

Спустя час накрылось всё медным тазом... :evil: Народ, может кто хоть подкинет идею от чего такое может быть

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение hizel » 2008-04-22 13:44:40

не проще ли убрать все эти навароты
и сначала обеспечить нужную функциональность
а потом докрутить функциональность
я честно говоря в вашем фаерволе теряюсь
час внего повтыкал :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anykey
рядовой
Сообщения: 12
Зарегистрирован: 2007-08-01 0:21:12

Re: ipfw+natd - не работает нормально redirect_port

Непрочитанное сообщение anykey » 2008-04-23 23:23:09

Доброй ночи всем!
Вобщем так и не работает проброс портов... хрень какаято. думаю перейти на ipnat имхо так как-то даже проще выглядит всё это дело.

Я уже и отключал всяки "навороты" и всё что могло бы мешать пониманию... НОЛЬ МЫСЛЕЙ...
Вобщем спасибо всем за внимание, буду дальше ипать себе моск :roll: