ipfw

[hammer68]

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i

${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy

${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut

Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

via rl0i

как минимум это выглядит подозрительным
что не получается то?

[hammer68]

via rl0i

как минимум это выглядит подозрительным
что не получается то?

а че станного ?

пробовал так

Код: Выделить всё

${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster 
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy 
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster 
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy

${ipfw} add 01090 deny all from yy.yy.yy.yy to any
${ipfw} add 01100 deny all from any to yy.yy.yy.yy

как я понимаю первые 4 правила должны пропускать все на cluster и обратно а два последних резать все остальное во внешку но к clustery при этом не достучаться
ipfw show

Код: Выделить всё

00350  2270   407912 allow tcp from yy.yy.yy.yy to cluster
00360  4890  3100104 allow tcp from cluster to yy.yy.yy.yy
00370    14     1220 allow udp from yy.yy.yy.yy to cluster
00380    28     1592 allow udp from cluster to yy.yy.yy.yy

01090    42     3446 deny ip from yy.yy.yy.yy to any
01100     0        0 deny ip from any to yy.yy.yy.yy

то есть пакеты проходят первые 4 правила а патом рубятся двумя последними но как мне думается они не должны доходить до них
может я че нить с доступом к роутеру накасячил

[-cat-]

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i

${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy

${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut

Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i

${ipfw} add allow all from $LanIn to $LanIn
 
${ipfw} add allow all from $cluster to any 
${ipfw} add allow all from any to $cluster

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut

${ipfw} add deny all from any to any

[hammer68]

спасибочки вроде работает но все таки хотель узнать а так почему не работало

Код: Выделить всё

${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy

[hizel]

а icmp вам чем не угодили?
что за дескриминация?

может красивее так?

Код: Выделить всё

$ipfw add allow ip from yy.yy.yy.yy to $cluster out via $LanIn
$ipfw add allow ip from yy.yy.yy.yy to $cluster in via $LanOut

$ipfw add allow ip from $cluster to yy.yy.yy.yy in via $LanIn
$ipfw add allow ip from $cluster to yy.yy.yy.yy out via $LanOut

кстати у вас там выше divert
он работает?

[hammer68]

Диверт работает, но его тоже надо убрать. У меня айпишники реальные стоят но из за маскарада их невидно из внешки что ни есть хорошо.
И еще вопрос после того как сделал так у меня перестало с clustera идти монтарование из за чего это может быть ???

Код: Выделить всё

ipfw='/sbin/ipfw -q'

cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i

${ipfw} add allow all from $LanIn to $LanIn

${ipfw} add allow all from $cluster to any 
${ipfw} add allow all from any to $cluster

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut

${ipfw} add deny all from any to any

[hizel]

извините но меня все смущает

${ipfw} add divert natd all from any to any via rl0i

разве такие интерфесы бывают: rl0i ?

и второе, что вы имеете ввиду под монтированием, nfs ?

[hammer68]

1 интерфейс rl0 по крайней мере пакеты по этому правилу идут
2 да у нис домашние каталоги монтируются с clustera но с такими правилами они не монтируютя почему я пока не понял

[Alex Keda]

покажи ifconfig

[hammer68]

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
        ether 00:e0:4c:39:28:bc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
        ether 00:e0:4c:39:2d:c2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000

вот ifconfig

[hammer68]

как мне кажется проблема должна решиться если открыть доступ к dns серверам кто че думает по этому поводу ???

[hizel]

если вы при монтировании
используете доменные имена, то да

[hammer68]

а инет убоать как ?
проксю (3128) закрыть ???

[hizel]

у вас там еще и прокса?
честно говоря я все больше запутался в вашей ситации (

[hammer68]

squid поднят на clustere поэтому его надо и прикрыть