В инете очень много различных конфигов по настройке ipfw однако очень мало теоретической информации по его функционированию, и прежде чем что-то ваять и биться головой о "стену" (и фигурально и буквально) хочется представить себе это все более подробно. На рисунке приведена схема файервола (как я её себе предствляю, может это и неправильно тогда поправте меня пожалуйста)
А теперь вопросы:
1. на схеме нарисованы как бы два потока через две сетевухи исходящий (относительно LAN) и входящий. Чтобы эти потоки функционировали, обязательно ли чтобы это было явно разрешено правилами на обеих картах. т. е.
будет ли исходящий поток, если я разрешу только
add pass from lan to any via rl1
(any уже включатет оба потока?)
или нужно скажем так
add pass from lan to any via rl1 in
add pass from lan to any via fx0 out
Какая альтернатива использования динамических правил?
Открытие портов выше 1023 на вход из инета?
Не могли бы вы поподробнее рассказать в каких целях
natd использует определенный порт, общие принципы подмены адреса мне понятны,
но зачем нужно прописывать какойто порт в правилах, что нельзя скажем взять пакет и поменять ему адреса? ЗАчем порт?
Много разных вариантов использования nat в некоторых идет divert any to any, в некоторых идет any to port
в чем разница?
В конфигах использующих и динамические правила и natd с помощью правила scipto обработка переносится за дефолтное запрещающее правило Так разве можно? Ведь сказано что оно должно идти последним?
IPFW Поподробнее в теории?
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- northern
- лейтенант
- Сообщения: 778
- Зарегистрирован: 2006-02-08 20:48:45
- Откуда: Днепропетровск
- Контактная информация:
Рекомендую для начала побиться головой о "стену" (и фигурально и буквально) в поисках книги или статей по фаеру, благо этого материала сейчас полно, тогда вопросы типа: "divert any to any, в некоторых идет any to port" в чем разница?" отпадут сразу. а вот когда будешь понимать чем any to any отличаеться от any to port и при этом что-то не будет работать - тогда тебе помогут. а без теории ты всё равно ничего не поймёшь
есть цель - действуй! инициатива друг мой!
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: IPFW Поподробнее в теории?
В инете по настройке дофига информации по ipfw,pf и прочим брендмауэрам.Indiver писал(а):В инете очень много различных конфигов по настройке ipfw однако очень мало теоретической информации по его функционированию, и прежде чем что-то ваять и биться головой о "стену" (и фигурально и буквально) хочется представить себе это все более подробно.
Т.к. все задачи как правило специфичные(да и не дело всем делать одинаковый фаер) то есть всегда одно правило, к которому нужно стремится:
Всё, что не разрешено, запрещено
Да, читать выше основное правило при составлении фаера. (В редких случаях от него можно отступать, пока учишься к примеру).1. на схеме нарисованы как бы два потока через две сетевухи исходящий (относительно LAN) и входящий. Чтобы эти потоки функционировали, обязательно ли чтобы это было явно разрешено правилами на обеих картах.
Смотря что нужно добится этим правилом.будет ли исходящий поток, если я разрешу только
add pass from lan to any via rl1
(any уже включатет оба потока?)
Более полно правило выглядит так:
Весь входящий траффик на интерфейсе rl1 будет принят, только если IP адрес будет принадлежать к lan.(lan = 192.168.0.0/16 к примеру)add pass from lan to any in via rl1
add pass from lan to any out via rl1
Тоже про исходящий.
Пакет нормально уйдёт в инет по этим правилам. Только его нужно сначала натить, прежде чем сработает out via fxp0.или нужно скажем так
add pass from lan to any via rl1 in
add pass from lan to any via fx0 out
Это просто дополнительна возможность. Какая альтернатива телевидению?( Радио, посещение концертов, кинотеатров и т.п.)Какая альтернатива использования динамических правил?
Читайте в интернете типы натов. (На заметку возьмите себе STUN для выяснения какой у вас nat организован)Не могли бы вы поподробнее рассказать в каких целях
natd использует определенный порт, общие принципы подмены адреса мне понятны,
но зачем нужно прописывать какойто порт в правилах, что нельзя скажем взять пакет и поменять ему адреса? ЗАчем порт?
Каждый nat работать может по разному и имеет свои плюсы/минусы.
Кто как хочет, так и др..ит. Как кому удобнее и на что хватает знаний. По обыкновению нужно чтобы работало и причём сразу. Вот и получаются такие конфиги.Много разных вариантов использования nat в некоторых идет divert any to any, в некоторых идет any to port
в чем разница?
последнее правило с номером 65535 дефолтное (deny или allow). Оно и есть последнее.В конфигах использующих и динамические правила и natd с помощью правила skipto обработка переносится за дефолтное запрещающее правило Так разве можно? Ведь сказано что оно должно идти последним?
В динамических правилах (они отображаются просто после всех правил фаера) обратите внимание на номера, они будут соответствовать правилам с keep-state, и иметь номера до 65535.
skipto пернаправляет пакет на нужное правило до 65535, где вы увидели что оно за пределами 65535?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.