ipfw

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

ipfw

Непрочитанное сообщение hammer68 » 2008-04-21 21:41:14

ситуебина
есть роутер на фрях за ним стоит сервер (с белым ИП) который должен быть доступен из внешки
пути в rc.conf прописаны
собственно вопрос какие правила в конфиг фаервола поставить
все работает с одним правилом

Код: Выделить всё

ipfw add allow all from any to any
а как мне теперь разрешить инет тока на этот сервер ???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-04-21 22:21:41

что то типа

Код: Выделить всё

real_ip=x.x.x.x
ipfw add allow all from any to $real_ip 
ipfw add allow all from $real_ip  to any
ipfw add deny all from any to any 
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-04-22 14:05:36

так пробовал пакеты по ним идут но потом почемуто попадают на последнее дефолтовское дени и рубятся в чем проблема я так и не понимаю :(

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-04-22 14:18:51

а с

Код: Выделить всё

ipfw add allow all from any to any
все ходит?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-04-22 14:19:55

да все ходит нормально

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-04-22 14:25:10

тогда непонятно

Код: Выделить всё

real_ip=x.x.x.x
ipfw add allow all from any to $real_ip 
ipfw add allow all from $real_ip  to any
ipfw add deny all from any to any 
первый allow срабатывает когда пакет проходит через внешнию и внутреннию сетевуху в строну real_ip
второй allow соответственно наоборот
логически все верно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-04-22 14:26:19

вот такой фаервол

Код: Выделить всё

LanIn="xx.xx.xx.xx"                                  #интерфейс в локалку
LanOut="yy.yy.yy.yy"                                 #интерфейс в инет
serverr="zz.zz.zz.zz"

${ipfw} -f flush
#${ipfw} add allow all from any to any

${ipfw} add 00340 allow all from $server to any
${ipfw} add 00350 allow all from any to $server

${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut
с сервера пингуются оба интерфейса роутера

в rc.conf прописано

Код: Выделить всё

static_routes="loc"
static_loc="-net xx.xx.xx.xx/27 yy.yy.yy.yy -inteface rl1"
Последний раз редактировалось hammer68 2008-04-22 15:56:59, всего редактировалось 1 раз.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-04-22 14:36:49

странно почемута пингуются оба интерфейса а вот
traceroute внешний ИП не проходит :( кто нить знает почему так может быть ?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw

Непрочитанное сообщение hizel » 2008-04-22 14:38:25

то что вы только tcp открыли может быть
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw

Непрочитанное сообщение hammer68 » 2008-04-22 14:43:18

пробовал ставить all ниче не меняется

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw

Непрочитанное сообщение dikens3 » 2008-04-22 20:45:51

hammer68 писал(а):пробовал ставить all ниче не меняется
Существует действие LOG для отладки правил.

Нужно добавить в rc.conf

Код: Выделить всё

firewall_logging="NO"           # Set to YES to enable events logging
И потом использовать действие log на всех правилах использующих DENY. Если правило последнее, тогда добавить перед ним:

Код: Выделить всё

ipfw add 65534 deny log ip from any to any
Все прибитые пакеты будут записаны в /var/log/security в котором можно найти всю информацию о том, что блокируется.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.