ipwf+natd видимость портов

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
wws
проходил мимо
Сообщения: 4
Зарегистрирован: 2007-08-02 11:00:18
Контактная информация:

ipwf+natd видимость портов

Непрочитанное сообщение wws » 2007-08-02 11:23:50

Доброго времени суток!
Есть локалка+прокси в Инет. Пытаюсь настроить ipfw+natd на FreeBSD 6.1. Фря одним интерфейсом смотрит в локаль, другим в подстеть прокси. Прописываю правила, для проверки сканирую наружный интерфейс с прокси на наличие открытых портов. В логах пишет

Код: Выделить всё

ipfw: Deny TCP (IP Proxy):4858 (IP наружного интерфейса FreeBSD):21 in via LanOut.
А сканер показывает 21 порт. Аналогично 80,110,25
rc.conf

Код: Выделить всё

defaultrouter="IP Proxy"
gateway_enable="YES"
inetd_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
rpcbind_enable="YES"
sshd_enable="YES"
# FIREWALL
tcp_extensions="NO"   
tcp_drop_synfin="YES" 
firewall_enable="YES"
firewall_logging="YES"
firewall_type="MyCompany"
natd_enable="YES"                
natd_interface="LanOut"               
natd_flags="-l -dynamic -m"
Правила IPFW

Код: Выделить всё

LanIn - Внутренний интерфейс
IpIn - IP внутреннего интерфейса
LanOut - Внешний интрефейс
IpOut - IP внешнего интерфейса
IpProxy - IP прокси
my - мой IP

Код: Выделить всё

${fwcmd} add 0005 check-state
# Разрешаем мне SSH
${fwcmd} add 0010 pass all from $my to $IpIn 22 in via $LanIn setup keep-state
${fwcmd} add 0015 pass all from any to any via lo0
# Разрешаем трафик только в пределах локальной сети
${fwcmd} add 0020 pass all from any to any via $LanIn
${fwcmd} add 0024 deny log tcp from any to $IpOut 80,21,110,25 in via $LanOut
${fwcmd} add 0025 divert natd ip from any to any in via $LanOut
# Разрешаем DNS
${fwcmd} add 0030 skipto 65000 log udp from $my,$IpOut to $IpProxy 53 limit src-addr 5        
${fwcmd} add 0045 skipto 65000 tcp from ${my} to any 3128 out via $LanOut setup limit src-addr 10
${fwcmd} add 64999 deny log all from any to any
${fwcmd} add 65000 divert natd ip from any to any out via $LanOut
${fwcmd} add 65001 pass log ip from any to any
Конфиг ядра

Код: Выделить всё

ptions         MROUTING                # Multicast routing
options         PIM                     # Protocol Independent Multicast
options         IPFIREWALL              #firewall
options         IPFIREWALL_VERBOSE      #enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=5      #limit verbosity
#options        IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by default
options         IPFIREWALL_FORWARD      #packet destination changes
options         IPFIREWALL_FORWARD_EXTENDED     #all packet dest changes
#options        IPV6FIREWALL            #firewall for IPv6
#options        IPV6FIREWALL_VERBOSE
#options        IPV6FIREWALL_VERBOSE_LIMIT=10
#options        IPV6FIREWALL_DEFAULT_TO_ACCEPT
options         IPDIVERT                #divert sockets
#options        IPFILTER                #ipfilter support
#options        IPFILTER_LOG            #ipfilter logging
#options        IPFILTER_LOOKUP         #ipfilter pools
#options        IPFILTER_DEFAULT_BLOCK  #block all packets by default
options         IPSTEALTH               #support for stealth forwarding
options         TCPDEBUG
Подскажите где ошибка.
И еще при использовании конструкции fwd пишет ошибку

Код: Выделить всё

ipfw: getsockopt(IP_FW_ADD): Invalid argument

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
wws
проходил мимо
Сообщения: 4
Зарегистрирован: 2007-08-02 11:00:18
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение wws » 2007-08-02 12:23:00

Проблема с портами решилась.
Помогите с fwd.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение alex3 » 2007-08-02 15:00:37

ты хоть конструкцию fwd написал бы... скорее всего синтаксис неправильный.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
wws
проходил мимо
Сообщения: 4
Зарегистрирован: 2007-08-02 11:00:18
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение wws » 2007-08-03 4:05:05

Код: Выделить всё

${fwcmd} add fwd 127.0.0.0,3128 tcp from $NetIn to any 80 via $LanOut
При любом появлении fwd в правилах вылезает ошибка. Пробовал разные конструкции.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение Alex Keda » 2007-08-03 8:11:10

подозреваю, ядро без форварда собрано, несмотря на утверждения в обратном.
Убей их всех! Бог потом рассортирует...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: ipwf+natd видимость портов

Непрочитанное сообщение reLax » 2007-08-03 19:11:58

wws писал(а):

Код: Выделить всё

${fwcmd} add fwd 127.0.0.0,3128 tcp from $NetIn to any 80 via $LanOut
При любом появлении fwd в правилах вылезает ошибка. Пробовал разные конструкции.
127.0.0.0 ? Поставь IP внутреннего интерфейса лучше, так вернее будет :)

Я не знаю, как у тебя конечно , но у меня лично:

Код: Выделить всё

[root@blackice ~]# nslookup 127.0.0.0
Server:         172.17.2.100
Address:        172.17.2.100#53

** server can't find 0.0.0.127.in-addr.arpa: NXDOMAIN

[root@blackice ~]# nslookup 127.0.0.1
Server:         172.17.2.100
Address:        172.17.2.100#53

1.0.0.127.in-addr.arpa  name = localhost.velko2000.local.

Последний раз редактировалось reLax 2007-08-03 19:16:28, всего редактировалось 1 раз.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение Alex Keda » 2007-08-03 19:14:24

lissyara писал(а):подозреваю, ядро без форварда собрано, несмотря на утверждения в обратном.
Убей их всех! Бог потом рассортирует...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: ipwf+natd видимость портов

Непрочитанное сообщение reLax » 2007-08-03 19:23:24

Так, пива меньше пить надо по пятницам. Мне :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение Alex Keda » 2007-08-03 23:34:19

ну, собсно это единственное логичное объяснение.
==========
ждём явления автора - он скажет точно
Убей их всех! Бог потом рассортирует...

Аватара пользователя
wws
проходил мимо
Сообщения: 4
Зарегистрирован: 2007-08-02 11:00:18
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение wws » 2007-08-30 5:05:51

Спасибо всем!
Действительно, после пересборки ядра и его установки все поехало.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipwf+natd видимость портов

Непрочитанное сообщение Alex Keda » 2007-08-30 9:16:42

вот и славненько :)
Убей их всех! Бог потом рассортирует...