правило IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

правило IPFW

Непрочитанное сообщение AHapku » 2009-03-20 16:38:42

FreeBSD 7.1

Добрый день, такая ситуации: хочу настроить ipfw таким образом, чтоб пользователи моей внутренней сети, при попытке выйти на наш сайт через внешний интерфейс, перенаправлялись непосредственно на сервер,который тоже находится в нашей сети, на котором этой сайт находится. Пишу такое правило:

Код: Выделить всё

${ipfw} add divert 172.16.0.3:80 from ${NetIn}/12 to ${IpOut}:80
При перезагрузке фаервол пишет мне следующее:
ipfw: unrecognised option [-1] from
подскажите в чём проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: правило IPFW

Непрочитанное сообщение hizel » 2009-03-20 16:39:28

fwd используйте
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-20 16:48:37

вместо divert прописать fwd?) и это правило должно до натовский стоять или после?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: правило IPFW

Непрочитанное сообщение hizel » 2009-03-20 16:50:50

ммм если знать что собственно делает nat то ответ очевиден

Пы.Сы. да да такая я бяка сегодня :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-20 17:05:07

Воть:

Код: Выделить всё

${ipfw} add fwd 172.16.0.3:80 tcp from ${NetIn}/12 to ${IpOut} 80
Правило написано до правил NAT, ipfw show показывает что правило работает:

Код: Выделить всё

00200    36     1728 fwd 172.16.0.3,80 tcp from 172.16.0.0/12 to 55.111.222.333 dst-port 80
А на сайт всё равно не пускает:(

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: правило IPFW

Непрочитанное сообщение hizel » 2009-03-20 17:09:21

tcpdump-ом поглядите :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-20 17:18:07

Погляжу=) спасибо и удачных выходных! буду разбираться в понедельник=)

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: правило IPFW

Непрочитанное сообщение hizel » 2009-03-20 17:23:59

похоже на "синдром обратного пути"
спс, вам того же :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: правило IPFW

Непрочитанное сообщение Laa » 2009-03-20 17:44:04

Юзайте .... in recv $_iface_in в правиле файервола!
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-24 12:51:28

А можно поподробнее про recv, пожалуйста :smile: ман читаю, понять не могу! если возможно дайте работающий пример=)

Аватара пользователя
FenX
ст. прапорщик
Сообщения: 513
Зарегистрирован: 2008-04-23 17:46:53
Откуда: Moscow
Контактная информация:

Re: правило IPFW

Непрочитанное сообщение FenX » 2009-03-24 13:30:57

я так понимаю dns в сети свой...
так не проще ли в этом самом dns`е просто зону малясь поправить? Оо

ну а если всётаки правилом хотитсо:

Код: Выделить всё

${ipfw} add fwd 172.16.0.3,80 tcp from ${NetIn}/12 to <HOST IP> 80 in via $ll
где:
<HOST IP> - внешний ip адрес вашего web`а
$ll - имя внутреннего интерфейса.

Edit:
с натом отпало :)
косячит :)

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-24 14:10:17

Попробовал так, результат тот же:( А что значит с натом не работает? правило до правил nat написано=)

Аватара пользователя
FenX
ст. прапорщик
Сообщения: 513
Зарегистрирован: 2008-04-23 17:46:53
Откуда: Moscow
Контактная информация:

Re: правило IPFW

Непрочитанное сообщение FenX » 2009-03-24 16:32:02

да не, я просто в посте ещё и попытку натом завернуть писал :)
с другом тестанули на одном из шлюзов...
начался косяк с заворотом трафика...
переодически пытался в никуда отправить,
а самое главное - нужного результата так и не добились =\

в общем, имхо, самый верный вариант,
это если есть локальный dns сервер, на нём прописать сою зону и всё.

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-24 18:21:10

Ладно, спасибо=) попробум с dns что-нибудь намутить...

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-25 16:56:08

dns не катит, потому что у нас внутрення доменная зона local, а внешняя ru...А наш виндовый сервер не позволяет создавать зону ru.

А можно поподробнее про "Синдром обратного пути"? уже перепробовал массу вариантов, последний:

Код: Выделить всё

${ipfw} add fwd 172.16.0.3,80 tcp from ${NetIn}/12 to ${IpOut} recv ${LanIn}
результат тот же.... :st:

показания ipfw show при обращении к сайту:

Код: Выделить всё

00200     18      864 fwd 172.16.0.3,80 tcp from 172.16.0.0/12 to 11.222.333.444 recv fxp0

Аватара пользователя
FenX
ст. прапорщик
Сообщения: 513
Зарегистрирован: 2008-04-23 17:46:53
Откуда: Moscow
Контактная информация:

Re: правило IPFW

Непрочитанное сообщение FenX » 2009-03-25 19:29:33

кстате, помониторь tcpdump`ом куда ходят пакеты,
при обращении людей из локалки к сейту.

есть подозрение, что они заворачиваются на полпути...

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-26 9:51:43

Верно, tcpdump вообще не показывает попытки обращения к сайту...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: правило IPFW

Непрочитанное сообщение zingel » 2009-03-26 9:58:34

Код: Выделить всё

ngrep -W byline port 80
Z301171463546 - можно пожертвовать мне денег

AHapku
ефрейтор
Сообщения: 57
Зарегистрирован: 2009-01-22 11:10:19

Re: правило IPFW

Непрочитанное сообщение AHapku » 2009-03-26 10:02:58

ngrep: Command not found.
:(

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: правило IPFW

Непрочитанное сообщение zingel » 2009-03-26 10:03:51

Код: Выделить всё

cd /usr/ports/net/ngrep && make install clean
Z301171463546 - можно пожертвовать мне денег