"Ошибка в правилах ipfw?"

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
alex123
проходил мимо
Сообщения: 2
Зарегистрирован: 2008-11-03 14:19:02

"Ошибка в правилах ipfw?"

Непрочитанное сообщение alex123 » 2008-11-06 4:24:13

Помогите найти ошибку в правила: пакеты наружу идут а обратно --нет :(
Да, я составил слишком мудрёные правила и 90% пакетов через них не пройдут, правила составленны криво, зато легко и понятно читаются (надеюсь :))
Хотел чтоб через них проходил фтп и хттп (пусть не все, нохоть стандартные, пусть не все хттп, но фтп то должны!!)

пояснения к правилам:
192.168.1.0/29 -- внутренняя сеть
rl1 -- интерфейс смотрящий во внутреннюю сеть
192.168.0.1 -- ип внутреннего интерфейса
rl0 -- внешний интерфейс
10.4.2.15 -- ип внешнего интерфейса

компьютеры из внутренней сети должны выходить через НАТ на фтп и хттп во внешнюю сеть
sysctl net.inet.ip.fw.one_pass=0

Я наверно туплю, но уже неоднократно перепроверял правила--ошибки невижу :((

Помогите, пожалуйста,
С уважением, Alex123, правила привожу ниже.

Код: Выделить всё

Правила:
#=====Firewall Configuration
#var
#inthost="192.168.0.1"
#intnet="192.168.0.0/29"
#outhost="10.4.2.15"
#admcomp="192.168.1.2"
#outinterface="rl0"
#intinterface="rl1"

#Rules Begin

#antihack
#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from ${intnet} to any in via ${outinterface}
# Deny X-scaning
add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 14 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning
add 15 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 16 deny ip from any to any not verrevpath in
add 17 deny ip from ${intnet} to any in via ${outinterface}
add 18 deny ip from ${outhost} to any in via ${intinterface}
# ip-session limit
#add 19 allow ip  from any to any  setup limit src-addr 10
#Deny loop back external acces
#add 20 deny all from any to 127.0.0.0/8
#add 21 deny all from 127.0.0.0/8 to any
#Deny Windows flood
add 24 deny ip from ${intnet} to ${intnet}  135,137-139,445 in via ${intinterface}
add 25 deny ip from any to ${outhost}  135,137-139,445 in via ${outinterface}

#SSH
add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface}
add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface}

#dynamic on
add 40 check-state

#ICMP
add 50 deny icmp from any to any via ${outinterface}

#HTTP/HTTPS/FTP
#from intnet to Global over NAT
add 60 skipto 71 tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 61 skipto 71 udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from Global to intnet over NAT
add 62 skipto 71 tcp from not ${intnet} 20,21,80,8080,443 to ${outhost} via ${outinterface}
add 63 skipto 71 udp from not ${intnet} 20,21 to ${outhost} via ${outinterface}

#NAT
nat 72 config ip ${outhost} same_ports
add 70 deny all from any to any via ${outinterface}
add 71 nat 72 ip from any to any via ${outinterface}

#HTTP/HTTPS/FTP
#from intnet to Global via intinterface
#add 79 allow all from any to any via lo0
add 80 allow tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 81 allow udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from NAT to Global
add 82 allow tcp from ${outhost} to not ${intnet}  20,21,80,8080,443 keep-state via ${outinterface}
add 83 allow udp from ${outhost} to not ${intnet} 20,21 keep-state via ${outinterface}
#from NAT to intnet
add 84 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${outinterface}
add 85 allow udp from not ${intnet} 20,21 to ${intnet} via ${outinterface}
#from Global to intnet via intinterface
add 86 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${intinterface}
add 87 allow udp from not ${intnet} 20,21 to ${intnet} via ${intinterface}

#Deny any all
add 10000 deny all from any to any via ${outinterface}
add 10001 deny all from any to any via ${intinterface}

#Rules END


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: "Ошибка в правилах ipfw?"

Непрочитанное сообщение manefesto » 2008-11-06 10:22:25

ничо не понял.
Я для ftp делаю правило с setup keep-state
я такой яростный шо аж пиздеЦ
Изображение

alex123
проходил мимо
Сообщения: 2
Зарегистрирован: 2008-11-03 14:19:02

Re: "Ошибка в правилах ipfw?"

Непрочитанное сообщение alex123 » 2008-11-06 17:00:56

Правила для доступа по фтп и хттп протоколам к заданным ИП (без ДНС), с инециализацией соединений только со стороны пользователей внутренней сети 192.168.1.0/29, пакеты наружу выходят по статистики через правило add 82 allow tcp from ${outhost} to not ${intnet} 20,21,80,8080,443 keep-state via ${outinterface}

а обратно ответы через правило add 62 skipto 71 tcp from not ${intnet} 20,21,80,8080,443 to ${outhost} via ${outinterface} не проходят