Настройка ipfw+nat помогите разобраться плиз

[bartanxas]

Начальные условия следующие:

Есть две сети: 192.168.111.0/24, 192.168.5.0/24
192.168.111.0/24 - сеть провайдера назовем WAN
192.168.5.0/24 - внутренняя сеть назовем LAN
OS FreeBSD 7.1
Шлюз: 192.168.111.253
DNS: 192.168.111.253
ОС в базовой установке с минимальной сетевой конфигурацией.
Соответственно сетевые интерфейсы на нашем шлюзе rl0:192.168.5.1/24, rl1:192.168.111.250/24

/etc/resolv.conf

Код: Выделить всё

nameserver 192.168.111.253

/etc/rc.conf

Код: Выделить всё

ifconfig_rl0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.111.250 netmask 255.255.255.0"
defaultroter="192.168.111.253"
hostname="test.example.com"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl1"
firewall_enable="YES"
firewall_type="OPEN"

.../KERNEL

Код: Выделить всё

options IPFIREWALL
options IPDIVERT

Необходимо что бы LAN мог выходить в WAN через NAT. И соответственно из WAN в LAN доступа не было.

Код: Выделить всё

ipfw -q flush

Получаем правила для ipfw

Код: Выделить всё

65535 allow ip from any to any

Проблема в том что когда ipfw_type="OPEN" трафик ходит и туда и обратно, то есть сквозняком, причем получаются такие правила:

Код: Выделить всё

50      divert 8668 ip4 from any to any via rl1
100    alow ip from any to any via lo0
200    deny ip from any to 127.0.0.0/8
300    deny ip from 127.0.0.1/8 to any
65000 allow ip from any to any
65535 allow ip from any to any

При таких правилах получается следующие записи в логах:

All login counts reset

Код: Выделить всё

65000 Accept      ICMP:8.0 192.168.5.2     192.168.111.254 in  via rl0
50    Divert 8668 ICMP:8.0 192.168.5.2     192.168.111.254 out via rl1
65000 Accept      ICMP:8.0 192.168.111.250 192.168.111.254 out via rl1
50    Divert 8668 ICMP:0.0 192.168.111.254 192.168.111.250 in  via rl1
65000 Accept      ICMP:0.0 192.168.111.254 192.168.5.2     in  via rl1
65000 Accept      ICMP:0.0 192.168.111.254 192.168.5.2     out via rl0

Больше всего смутила эта строчка: 65000 Accept ICMP:0.0 192.168.111.254 192.168.5.2 in via rl1

Попытался написать свое:

Код: Выделить всё

00050 divert 8668 ip4 from any to any via rl1
00100 alow  ip from any to any via lo0
00200 deny  ip from any to 127.0.0.0/8
00300 deny  ip from 127.0.0.1/8 to any
00500 allow ip from any to any via rl0
00700 allow ip from me to any via rl1 keep-state
65000 deny  ip from any to any
65535 allow ip from any to any

И получил блокировку, указанную в логах:

Код: Выделить всё

All login counts reset
500   Accept      ICMP:8.0 192.168.5.2     192.168.111.254 in  via rl0
50    Divert 8668 ICMP:8.0 192.168.5.2     192.168.111.254 out via rl1
700   Accept      ICMP:8.0 192.168.111.250 192.168.111.254 out via rl1
50    Divert 8668 ICMP:0.0 192.168.111.254 192.168.111.250 in  via rl1
65000 Deny        ICMP:0.0 192.168.111.254 192.168.5.2     in  via rl1

Вопрос что я сделал не так и почему при обратно преобразовании указывает in via rl1?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[GRooVE]

чего вы все так этот natd любите?
ядро позволяет - юзайте ipfw_nat
те же яйца, тока рулить проще и надежнее

[---nebo---]

Вопрос что я сделал не так и почему при обратно преобразовании указывает in via rl1?

проблемы у вас возникают при возвращении пакета. После того, как он разнатится обратно(по этому и in via rl1), он проходит по правилам, тоесть пришедший пакет с адресом назначения 192.168.5.2, а более подходящего правила чем

Код: Выделить всё

65000 deny  ip from any to any

для этого пакета фаервол не находит, потому что других правил на этот счет у вас просто нету.

Добавте

Код: Выделить всё

00800 allow ip from any to 192.168.5.0/24 in via rl1

[bartanxas]

Получилось!!!!, ОГРОМНЕЙШЕЕ СПАСИБО. я над этим 3 дня бился)))

[Гость]

Интересная ситуация получается при таких правилах получается что из WAN идет запрос в LAN и доходи цели, после чего цель отвечает, но шлюз не выпускает ответ... а можно каким либо образом сделать так что бы шлюз не принимал запрос из вне?

[---nebo---]

Интересная ситуация получается при таких правилах получается что из WAN идет запрос в LAN и доходи цели, после чего цель отвечает, но шлюз не выпускает ответ... а можно каким либо образом сделать так что бы шлюз не принимал запрос из вне?

при правилах, описаных выше, никакой запрос из вне не дойдет до машин локальной сети. Хосты локальной сети находятся за натом, и опять же, никакого бината или статического ната в конфиах нету, поетому ничего не прийдет из WAN.

[bartanxas]

Все гораздо интереснее)))
При таких правилах:
ipfw list

Код: Выделить всё

00050 divert 8668 log logamount 20 ip from any to any via rl1
00100 allow log logamount 20 ip from any to any via lo0
00200 deny log logamount 20 ip from any to 127.0.0.0/8
00300 deny log logamount 20 ip from 127.0.0.0/8 to any
00500 allow log logamount 20 ip from any to any via rl0
00700 allow log logamount 20 ip from me to any via rl1 keep-state
00800 allow log logamount 20 ip from any to 192.168.5.0/24 in via rl1
65000 deny log logamount 20 ip from any to any
65535 allow ip from any to any

Получаем такие логи при исходящем пакете:

Код: Выделить всё

ipfw: 500 Accept ICMP:8.0 192.168.5.2 192.168.111.253 in via rl0
ipfw: 50 Divert 8668 ICMP:8.0 192.168.5.2 192.168.111.253 out via rl1
ipfw: 700 Accept ICMP:8.0 192.168.111.250 192.168.111.253 out via rl1
ipfw: 50 Divert 8668 ICMP:0.0 192.168.111.253 192.168.111.250 in via rl1
ipfw: 800 Accept ICMP:0.0 192.168.111.253 192.168.5.2 in via rl1
ipfw: 500 Accept ICMP:0.0 192.168.111.253 192.168.5.2 out via rl0

И такие при входящем пакете

Код: Выделить всё

ipfw: 50 Divert 8668 ICMP:8.0 192.168.111.113 192.168.5.2 in via rl1
 ipfw: 800 Accept ICMP:8.0 192.168.111.113 192.168.5.2 in via rl1
 ipfw: 500 Accept ICMP:8.0 192.168.111.113 192.168.5.2 out via rl0
 ipfw: 500 Accept ICMP:0.0 192.168.5.2 192.168.111.113 in via rl0
 ipfw: 50 Divert 8668 ICMP:0.0 192.168.5.2 192.168.111.113 out via rl1
 ipfw: 65000 Deny ICMP:0.0 192.168.5.2 192.168.111.113 out via rl1

Вот в чем дело...
ipfw: 500 Accept ICMP:8.0 192.168.111.113 192.168.5.2 out via rl0
Вот собственно и появляется вопрос как можно настроить правила так что бы не пускало входящий пакет во внутреннюю сеть если это не ответ на исходящий запрос... Ведь получается что можно засыпать внутреннюю сеть если хоть немного есть информации о ней...

[---nebo---]

Код: Выделить всё

#ipfw add divert 8668 ip from any to any via rl1
#ipfw add allow ip from any to any via lo0
#ipfw add deny  ip from 127.0.0.0/8 to any
#ipfw add deny  ip from any to 127.0.0.0/8

#ipfw add allow icmp from 192.168.111.250 to any keep-state
#ipfw add allow icmp from 192.168.5.0/24 to any keep-state
#ipfw add deny  icmp from any to any

#ipfw add allow \{tcp or udp \} from any to any via rl0
#ipfw add allow \{tcp or udp \} from me to any via rl1 keep-state
#ipfw add allow \{tcp or udp \} from any to 192.168.5.0/24 in via rl1

#ipfw add deny ip from any to any

[bartanxas]

Правила

Код: Выделить всё

00050 divert 8668 log logamount 20 ip from any to any via rl1
00100 allow log logamount 20 ip from any to any via lo0
00200 deny log logamount 20 ip from any to 127.0.0.0/8
00300 deny log logamount 20 ip from 127.0.0.0/8 to any

00400 allow log logamount 20 icmp from 192.168.111.250 to any keep-state
00401 allow log logamount 20 icmp from 192.168.5.0/24 to any keep-state
00402 deny log logamount 20 icmp from any to any

00500 allow log logamount 20 { tcp or udp } from any to any via rl0
00700 allow log logamount 20 { tcp or udp } from me to any via rl1 keep-state
00800 allow log logamount 20 { tcp or udp } from any to 192.168.5.0/24 in via rl1
65000 deny log logamount 20 ip from any to any

65535 allow ip from any to any 

Логи

Код: Выделить всё

Nov 23 13:39:27 zapas kernel: ipfw: 50 Divert 8668 TCP 192.168.111.113:3251 192.168.5.2:23 in via rl1
Nov 23 13:39:27 zapas kernel: ipfw: 800 Accept TCP 192.168.111.113:3251 192.168.5.2:23 in via rl1
Nov 23 13:39:27 zapas kernel: ipfw: 500 Accept TCP 192.168.111.113:3251 192.168.5.2:23 out via rl0
Nov 23 13:39:27 zapas kernel: ipfw: 500 Accept TCP 192.168.5.2:23 192.168.111.113:3251 in via rl0
Nov 23 13:39:27 zapas kernel: ipfw: 50 Divert 8668 TCP 192.168.5.2:23 192.168.111.113:3251 out via rl1
Nov 23 13:39:27 zapas kernel: ipfw: 65000 Deny TCP 192.168.5.2:23 

Nov 23 13:39:27 zapas kernel: ipfw: 500 Accept TCP 192.168.111.113:3251 192.168.5.2:23 out via rl0
Все равно пропускает...

[chief]

На вскидку...

Ядро:

Код: Выделить всё

...
options LIBALIAS
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options HZ=1000
options DUMMYNET
options IPFILTER
...

/etc/rc.conf

Код: Выделить всё

ifconfig_rl0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.111.250 netmask 255.255.255.0"
defaultroter="192.168.111.253"
hostname="test.example.com"
gateway_enable="YES"
ipnat_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"

/etc/ipfw.rules

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} -f queue flush
${fwcmd} -f pipe flush
${fwcmd} pipe 10 config bw 90Mbit/s queue 100 plr 0 # IN BW
${fwcmd} pipe 11 config bw 90Mbit/s queue 100 plr 0 # OUT BW
${fwcmd} queue 10 config pipe 10 mask src-ip 0xffffffff weight 50
${fwcmd} queue 11 config pipe 11 mask dst-ip 0xffffffff weight 50
${fwcmd} add queue 10 pass ip from 192.168.5.0/24 to not 192.168.5.0/24 in
${fwcmd} add queue 11 pass ip from not 192.168.5.0/24 to 192.168.5.0/24 out
${fwcmd} add deny ip from any to not me recv rl1 xmit rl0

/etc/ipnat.rules

Код: Выделить всё

map rl1 from 192.168.5.0/24 -> 0/32

[Jakal]

Тоже нужна помощь.
Роутер реализован на FreeBSD 7.1, связка IPFW+IPNAT, две сетевых карты. Есть две подсети: локалка - 192.168.15.0/24 на rl0 и внешняя подсеть, скажем, 195.64.216.16/29 тоже на rl0 с маршрутизацией у провайдера. На внутреннем интерфейсе установлен алиас для подсети из внешних адресов. Привожу результат ifconfig.

Код: Выделить всё

# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1472
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:05:5d:6b:94:f4
        inet 195.64.216.50 netmask 0xfffffff0 broadcast 195.64.216.63
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0f:ea:c3:dc:99
        inet 195.64.216.22 netmask 0xfffffff8 broadcast 195.64.216.23
        inet 192.168.15.1 netmask 0xffffff00 broadcast 192.168.15.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000

Это кусок /etc/rc.conf

Код: Выделить всё

# cat /etc/rc.conf
defaultrouter="195.64.216.62"
ifconfig_vr0="inet 195.64.216.50  netmask 255.255.255.240"
ifconfig_rl0="inet 192.168.15.1  netmask 255.255.255.0"
ifconfig_rl0_alias0="inet 195.64.216.22 netmask 255.255.255.248"

gateway_enable="YES"
router_enable="NO"
sshd_enable="YES"
named_enable="YES"
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF"
ipnat_rules="/etc/ipfw/ipnat"

Правила firewall

Код: Выделить всё

00100 check-state
00110 allow ip from any to any via lo0
00120 deny log ip from any to 127.0.0.0/8
00130 deny log ip from 127.0.0.0/8 to any
00140 deny log ip from any to 10.0.0.0/8 in via vr0
00150 deny log ip from any to 172.16.0.0/12 in via vr0
00160 deny log ip from any to 192.168.0.0/16 in via vr0
00170 deny log ip from any to 0.0.0.0/8 in via vr0
00180 deny log ip from any to 169.254.0.0/16 in via vr0
00190 deny log ip from any to 224.0.0.0/4 in via vr0
00200 deny log ip from any to 240.0.0.0/4 in via vr0
00210 deny log icmp from any to any frag
00220 deny log icmp from any to 255.255.255.255 in via vr0
00230 deny log icmp from any to 255.255.255.255 out via vr0
00240 deny log ip from 10.0.0.0/8 to any out via vr0
00250 deny log ip from 172.16.0.0/12 to any out via vr0
00260 deny log ip from 192.168.0.0/16 to any out via vr0
00270 deny log ip from 0.0.0.0/8 to any out via vr0
00280 deny log ip from 169.254.0.0/16 to any out via vr0
00290 deny log ip from 224.0.0.0/4 to any out via vr0
00300 deny log ip from 240.0.0.0/4 to any out via vr0
00310 allow ip from 192.168.15.0/24 to 195.64.216.16/29 via rl0
00320 allow ip from 195.64.216.16/29 to 192.168.15.0/24 via rl0
00330 fwd 127.0.0.1,3128 tcp from 192.168.15.0/24 to not me dst-port 80 in recv rl0
00340 fwd 127.0.0.1,3128 tcp from 192.168.15.0/24 to not me dst-port 80 in recv ng*
55080 allow ip from any to 195.64.216.17 dst-port 55777 in via vr0
55090 allow ip from 195.64.216.17 55777 to any out via vr0
55100 allow icmp from any to any icmptypes 0,3,4,8,10,11,30
55110 allow tcp from any to any established
55120 allow ip from 195.64.216.50 to any via vr0
55130 allow udp from any 53 to any via vr0
55140 allow ip from any to 195.64.216.50 dst-port 53 via vr0
55150 allow udp from any 123 to any via vr0
55160 allow tcp from any to 195.64.216.50 dst-port 21 via vr0
55170 allow tcp from any to 195.64.216.50 dst-port 20 via vr0
55180 allow tcp from any to 195.64.216.50 dst-port 42915-65535 via vr0
55190 allow tcp from any to 195.64.216.50 dst-port 5901 via vr0
55200 allow tcp from any to 195.64.216.50 dst-port 3389,33389 via vr0
55210 allow tcp from any to 195.64.216.50 dst-port 25 in via vr0 setup
55220 allow tcp from any to 195.64.216.50 dst-port 110 in via vr0
55230 allow tcp from any to 195.64.216.50 dst-port 143 via vr0
55240 allow udp from any 161 to 195.64.216.50 via vr0
55250 allow tcp from any to 195.64.216.50 dst-port 3306 in via vr0
55260 allow tcp from 192.168.15.0/24 to any dst-port 5190 in via rl0 setup
55270 allow ip from any 87 to 195.64.216.50 via vr0
55280 allow tcp from any to 195.64.216.16/29 dst-port 80,443 in via vr0
55290 allow tcp from 195.64.216.16/29 to any out via vr0
55300 allow tcp from any to 195.64.216.50 dst-port 1723 in via vr0
55310 allow tcp from 195.64.216.50 1723 to any out via vr0
55320 allow gre from any to any
55330 allow ip from any to any via rl0
55340 allow ip from any to any via ng*
55350 deny log ip from any to any
65535 deny ip from any to any

Правила IPNAT

Код: Выделить всё

# NAT
map vr0 from 192.168.15.0/24 to any -> 195.64.216.50/32 proxy port ftp ftp/tcp
map vr0 from 192.168.15.0/24 to any -> 195.64.216.50/32 portmap tcp/udp 1025:65535
map vr0 from 192.168.15.0/24 to any -> 195.64.216.50/32

# Redirect Mail
rdr vr0 195.64.216.50 port 25 -> 192.168.15.100 port 25 tcp
rdr vr0 195.64.216.50 port 110 -> 192.168.15.100 port 110 tcp

# Redirect MySQL
rdr vr0 195.64.216.50 port 3306 -> 195.64.216.18 port 3306 tcp

# Redirect Passive FTP to 100
rdr vr0 195.64.216.50 port 20 -> 192.168.15.100 port 20 tcp
rdr vr0 195.64.216.50 port 21 -> 192.168.15.100 port 21 tcp
rdr vr0 195.64.216.50 port 65530 -> 192.168.15.100 port 65530 tcp
rdr vr0 195.64.216.50 port 65531 -> 192.168.15.100 port 65531 tcp
rdr vr0 195.64.216.50 port 65532 -> 192.168.15.100 port 65532 tcp
rdr vr0 195.64.216.50 port 65533 -> 192.168.15.100 port 65533 tcp
rdr vr0 195.64.216.50 port 65534 -> 192.168.15.100 port 65534 tcp
rdr vr0 195.64.216.50 port 65535 -> 192.168.15.100 port 65535 tcp

# Redirect VNC to 100
rdr vr0 195.64.216.50 port 5901 -> 192.168.15.100 port 5901 tcp

# Redirect RDP to 100
rdr vr0 195.64.216.50 port 3389 -> 192.168.15.100 port 3389 tcp

# Redirect RDP to 1C
rdr vr0 195.64.216.50 port 33389 -> 192.168.15.8 port 3389 tcp

На 192.168.15.100 установлен FTP-сервер FileZilla. В настройках которого, для работы в пассивном режиме указан IP адрес 195.64.216.50
Проблема в том, что при обращении с внехи на FTP всё прекрасно работает. А с подсети 195.64.216.16/29 пакеты на внешний интерфейс 195.64.216.50 не проходят.
При обращении из подсети 195.64.216.16/29 на локальный IP адрес 192.168.15.100 соединение виснет при переходе в пассивный режим, естественно.
Уже неделю ломаю голову над этим. Решил обратиться к свежему взгляду, может что-то упускаю?

[bartanxas]

В данном разделе обсуждается ipfw+nat с демоном NATD! а не IPNAT!!!! Просьба писать по теме...

[Jakal]

Насколько я вижу, тема называется "Настройка ipfw+nat помогите разобраться плиз". Зачем создавать кучу дополнительных, если не указан способ реализации NAT? Но если вам так будет спокойнее, я создам отдельную тему.

[schizoid]

один вопрос - одна тема