ipfw

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

ipfw

Непрочитанное сообщение hammer68 » 2008-03-25 15:25:19

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i

${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy

${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut

Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку :?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-03-25 16:46:26

via rl0i
как минимум это выглядит подозрительным
что не получается то?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-25 17:12:39

hizel писал(а):
via rl0i
как минимум это выглядит подозрительным
что не получается то?
а че станного ?

пробовал так

Код: Выделить всё

${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster 
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy 
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster 
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy

${ipfw} add 01090 deny all from yy.yy.yy.yy to any
${ipfw} add 01100 deny all from any to yy.yy.yy.yy


как я понимаю первые 4 правила должны пропускать все на cluster и обратно а два последних резать все остальное во внешку но к clustery при этом не достучаться
ipfw show

Код: Выделить всё

00350  2270   407912 allow tcp from yy.yy.yy.yy to cluster
00360  4890  3100104 allow tcp from cluster to yy.yy.yy.yy
00370    14     1220 allow udp from yy.yy.yy.yy to cluster
00380    28     1592 allow udp from cluster to yy.yy.yy.yy

01090    42     3446 deny ip from yy.yy.yy.yy to any
01100     0        0 deny ip from any to yy.yy.yy.yy
то есть пакеты проходят первые 4 правила а патом рубятся двумя последними но как мне думается они не должны доходить до них :(
может я че нить с доступом к роутеру накасячил :?

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: ipfw

Непрочитанное сообщение -cat- » 2008-03-25 17:17:06

hammer68 писал(а):

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i

${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy

${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut

Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку :?

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i

${ipfw} add allow all from $LanIn to $LanIn
 
${ipfw} add allow all from $cluster to any 
${ipfw} add allow all from any to $cluster

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut

${ipfw} add deny all from any to any

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-25 17:37:13

спасибочки вроде работает но все таки хотель узнать а так почему не работало

Код: Выделить всё

${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-03-25 17:56:32

а icmp вам чем не угодили?
что за дескриминация?

может красивее так?

Код: Выделить всё

$ipfw add allow ip from yy.yy.yy.yy to $cluster out via $LanIn
$ipfw add allow ip from yy.yy.yy.yy to $cluster in via $LanOut

$ipfw add allow ip from $cluster to yy.yy.yy.yy in via $LanIn
$ipfw add allow ip from $cluster to yy.yy.yy.yy out via $LanOut
кстати у вас там выше divert
он работает?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-25 20:55:18

Диверт работает, но его тоже надо убрать. У меня айпишники реальные стоят но из за маскарада их невидно из внешки что ни есть хорошо.
И еще вопрос после того как сделал так у меня перестало с clustera идти монтарование :( из за чего это может быть ???

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i

${ipfw} add allow all from $LanIn to $LanIn

${ipfw} add allow all from $cluster to any 
${ipfw} add allow all from any to $cluster

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut

${ipfw} add deny all from any to any

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-03-25 22:19:03

извините но меня все смущает
${ipfw} add divert natd all from any to any via rl0i
разве такие интерфесы бывают: rl0i ?

и второе, что вы имеете ввиду под монтированием, nfs ?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-26 0:30:58

1 интерфейс rl0 по крайней мере пакеты по этому правилу идут
2 да у нис домашние каталоги монтируются с clustera но с такими правилами они не монтируютя почему я пока не понял :(

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw

Непрочитанное сообщение Alex Keda » 2008-03-26 0:37:42

покажи ifconfig =)
Убей их всех! Бог потом рассортирует...

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-26 16:11:38

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
        ether 00:e0:4c:39:28:bc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
        ether 00:e0:4c:39:2d:c2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
вот ifconfig

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-26 17:01:29

как мне кажется проблема должна решиться если открыть доступ к dns серверам кто че думает по этому поводу ???

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-03-26 17:32:06

если вы при монтировании
используете доменные имена, то да
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-26 17:44:41

а инет убоать как ?
проксю (3128) закрыть ???

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-03-26 17:55:24

у вас там еще и прокса? :shock:
честно говоря я все больше запутался в вашей ситации (
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-03-27 12:23:31

squid поднят на clustere поэтому его надо и прикрыть