Правило в IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-28 13:52:48

ну да пробую

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1 log logamount 1000 tcp from any to 'table(1)' via vlan1
тоже не открывает

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-28 15:18:59

А почему это правило должно быть перед натом :oops:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-28 15:59:28

А каким правилом можно перенаправить пользователя заходящего из вне на внутреннею сетку на определенный хост по определенному порту :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-28 18:44:52

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1,80 log logamount 1000 tcp from any to 'table(1)' via vlan1
и перед натом
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-28 18:46:05

vasilastr писал(а):А почему это правило должно быть перед натом :oops:
потому что правила обрабатываются до первого совпадения (в основном), по-этому у тебя сразу пакет попадает в НАт и до форварда не доходит.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 8:51:50

Ясно :smile:

А как мне сделать так (какое правило нужно приписать) чтобы удаленный комп с адресом 213.85.65.45, по интернету заходя на адрес 213.85.65.45 по подал во внутреннюю лакалку на комп 192.168.0.40 :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 10:16:22

vasilastr писал(а):Ясно :smile:

А как мне сделать так (какое правило нужно приписать) чтобы удаленный комп с адресом 213.85.65.45, по интернету заходя на адрес 213.85.65.45 по подал во внутреннюю лакалку на комп 192.168.0.40 :smile:
или я туплю или это один и тот же адрес.
на счет проброса, тут вот есть http://forum.lissyara.su/viewtopic.php? ... 25#p102566
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 10:27:58

Это я ступил :smile: так просто написал из головы а они взяли и совпали :smile:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 14:33:14

Почитал я форум интересного много, вывод: создал я фаил natd.conf

Код: Выделить всё

 
log yes 
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes

redirect_port tcp 192.168.0.11:4899 4899
redirect_port tcp 192.168.0.14:3389 3389

А вот как в фаерволе правило написать чтобы доступ былс определенного внешнего IP адреса :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 15:02:24

Код: Выделить всё

ipfw add deny tcp from not IP1, IP2 to me in 3389, 4899 via EXT_IF
вроде как-то так
типа запрещаем всем, кроме определенных ИПов
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:06:47

А больше там не чего не надо :smile:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:11:56

А вот если так

Код: Выделить всё

ipfw add deny tcp from not 'table(2)' to me in 3389, 4899 via EXT_IF
:smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 15:13:31

так удодбнее даже. мона ИПы на лету добавлять/удалять. не перегружая фаер
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:20:05

А вот в nat.conf номер порта можно любой порядок исел ставить ? :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 15:28:19

например? не понял вопроса
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:33:58

Ну задовать номер порта

Код: Выделить всё

redirect_port tcp 192.168.0.14:3389 3389
можно любой ? :smile: главное чтобы потм по нему заходили??

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:41:58

Вот такую ошибку выдает

Код: Выделить всё

ipfw: unrecognised option [-1] 6001
Вот такое правило

Код: Выделить всё

$fwcmd add 71 deny tcp from not 'table(2)' to me in 6001 via $ext_if
Правило стоитперед натом

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 15:48:03

номер порта не там поставил

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 15:56:12

угу
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-29 16:03:15

Чет не получается ошибык вроде нету да и удаленно не пускает, а правило перед натом должно быть ??? :(

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-29 16:56:35

должно еще быть разрешение на входящий трафик на внутренний интерфейс , ну и обратно.
посмотри тот пример, что я бросал (на счет 2-х каналов), там у меня на шлюзе нет сервисов, все внутри сети.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 9:01:30

Что-то не могу я догнать ? Сижу туплю , пример показать не можешь ? :oops:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 9:48:12

Это не это

Код: Выделить всё

00800  94674059  42505044232 count ip from any to any in recv rl0
00900  87887836  63995113504 count ip from any to any out xmit rl0

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 11:27:36

это подсчет
добавь логирование во все правила и посмотри чем режет. и добавь разрешающее
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 11:33:39

Я добавил

Код: Выделить всё

$fwcmd add 110 allow ip from any to any in via $int_if
$fwcmd add 111 allow ip from any to any out via $int_if