Правило в IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Ну это тоже не гут
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Написал вот такие правила
Поним движения пошли
Но удаленно не пускает
Я их после ната поставил правильно ?
Код: Выделить всё
00290 6 288 allow tcp from any to any dst-port 6001
00291 6 240 allow tcp from any 6001 to any
Но удаленно не пускает
Я их после ната поставил правильно ?
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
давай наверна уже полный конфиг + лог, где режет
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
ipfw show
Код: Выделить всё
00190 6 288 allow log logamount 100 tcp from any to any dst-port 6001
00191 6 240 allow log logamount 100 tcp from any 6001 to any
00279 6424 1160057 divert 199 ip from 192.168.0.0/24 to any out via vlan12
00280 6383 1158043 divert 8668 ip from 192.168.0.0/24 to any out via vlan12
00281 7446 4420503 divert 8668 ip from any to me in via vlan12
00282 7168 4352884 divert 199 ip from any to 192.168.0.0/24 in via vlan12
00302 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00303 9 504 allow icmp from any to any
00403 7 532 allow udp from any 123 to me in via vlan12
00404 0 0 allow udp from 192.168.0.0/24 to me dst-port 123
00405 0 0 allow udp from me 123 to 192.168.0.0/24
00415 6 454 allow udp from me to any dst-port 53
00416 0 0 allow udp from any 53 to me
00500 0 0 allow ip from any to any via lo
00510 5747 1070106 allow tcp from me to any via vlan12 keep-state
00511 22997 10267203 allow ip from 192.168.0.0/24 to any limit src-addr 20
00513 0 0 allow udp from me to any dst-port 53 keep-state
00514 0 0 allow udp from any to me dst-port 53
00515 637 88015 allow ip from me to any
01030 0 0 allow tcp from 192.168.0.0/22 to me dst-port 20,21,80
01031 0 0 allow tcp from me 20,21,80 to 192.168.0.0/22
65534 242 41460 deny log logamount 100 ip from any to any
65535 4689 940394 allow ip from any to any
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
логх правило это не ак не найду
я сейчас без natd.cof делаю, а через
я сейчас без natd.cof делаю, а через
Код: Выделить всё
natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
Код: Выделить всё
ipfw add 505 allow tcp from any to 192.168.0.10 dst-port 6001 in setup
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Вот лог
Код: Выделить всё
Jan 30 12:30:00 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:00 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0
Jan 30 12:30:01 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:01 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0
Jan 30 12:30:01 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:01 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
а где логи через другой интерфейс?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
и убери правила 190-191
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
00505 0 0 allow tcp from any to 10.7.1.1 dst-port 6001 in setup
тишина
тишина
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Может еще какое правило надо
это правило я убрал
и natd.conf тоже, теперь только вот это и
и правило
это правило я убрал
Код: Выделить всё
$fwcmd add 71 deny tcp from not 'table(2)' to me 6001 in via $ext_if
и natd.conf тоже, теперь только вот это и
Код: Выделить всё
natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf
Код: Выделить всё
$fwcmd add 505 allow log tcp from any to 192.168.0.10 6001 in setup
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
почемуто 505 не срабатывает
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
так. давай с начала. а то я уже запутался с тобой.
что есть, что ты хочешь получить?
что есть, что ты хочешь получить?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Давай
Есть сеть в ней Freebsd с 2 картами одна внешния другая внутр в етой внутрен сети есть сервер терминал виндовый, задача из интернета попасть на терминал переброом через freebsd
Есть сеть в ней Freebsd с 2 картами одна внешния другая внутр в етой внутрен сети есть сервер терминал виндовый, задача из интернета попасть на терминал переброом через freebsd
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
ок. тада так
1. инет как получаешь?
2. если терминалка, то порт 3389 (если не менял)
3. на терминалке должен быть шлю по-умолчанию роутер
1. инет как получаешь?
2. если терминалка, то порт 3389 (если не менял)
3. на терминалке должен быть шлю по-умолчанию роутер
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
1.Инет по статическому IP и раздаеся всей сети натом
2.нет не менял
3.да шлюз роутер
2.нет не менял
3.да шлюз роутер
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
тогда так:
192.168.0.0/24 - локалка
rl0 - локальный интерфейс
vlan12 - внешний интерфейс
192.168.0.10 - терминалка
попробуй пока так
192.168.0.0/24 - локалка
rl0 - локальный интерфейс
vlan12 - внешний интерфейс
192.168.0.10 - терминалка
Код: Выделить всё
allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
divert 199 ip from 192.168.0.0/24 to any out via vlan12
divert 8668 ip from 192.168.0.0/24 to any out via vlan12
divert 8668 ip from any to me in via vlan12
divert 199 ip from any to 192.168.0.0/24 in via vlan12
allow tcp from any to any established
allow tcp from any to 192.168.0.10 dst-port 3389 in via vlan12 setup
allow udp from any to any dst-port 53
allow udp from any 53 to any
deny log logamount 1000 ip from any to any
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
а, ну и нат:
стартуешь так:
Код: Выделить всё
log yes
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes
redirect_port tcp 192.168.0.10:3389 3389
Код: Выделить всё
/sbin/natd -n vlan12 -p 8668 -f /etc/natd.conf
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Хорошо а
оставить
Код: Выделить всё
natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Правило в IPFW
что это за порт такой 6001 ?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
Да так сам придумал
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
А что это правило делает
Код: Выделить всё
allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
-
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Re: Правило в IPFW
free# /sbin/natd -n vlan12 -p 8668 -f /etc/natd.conf
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: Unable to bind divert socket.: Address already in use
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: Unable to bind divert socket.: Address already in use