Правило в IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 11:42:03

Ну это тоже не гут :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 11:48:10

нет. не гут
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:02:06

Написал вот такие правила

Код: Выделить всё

00290      6       288 allow tcp from any to any dst-port 6001
00291      6       240 allow tcp from any 6001 to any
Поним движения пошли

Но удаленно не пускает :(

Я их после ната поставил правильно ?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 12:21:39

давай наверна уже полный конфиг + лог, где режет
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:28:28

ipfw show

Код: Выделить всё

00190    6     288 allow log logamount 100 tcp from any to any dst-port 6001
00191    6     240 allow log logamount 100 tcp from any 6001 to any
00279  6424  1160057 divert 199 ip from 192.168.0.0/24 to any out via vlan12
00280  6383  1158043 divert 8668 ip from 192.168.0.0/24 to any out via vlan12
00281  7446  4420503 divert 8668 ip from any to me in via vlan12
00282  7168  4352884 divert 199 ip from any to 192.168.0.0/24 in via vlan12
00302     0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00303     9      504 allow icmp from any to any
00403     7      532 allow udp from any 123 to me in via vlan12
00404     0        0 allow udp from 192.168.0.0/24 to me dst-port 123
00405     0        0 allow udp from me 123 to 192.168.0.0/24
00415     6      454 allow udp from me to any dst-port 53
00416     0        0 allow udp from any 53 to me
00500     0        0 allow ip from any to any via lo
00510  5747  1070106 allow tcp from me to any via vlan12 keep-state
00511 22997 10267203 allow ip from 192.168.0.0/24 to any limit src-addr 20
00513     0        0 allow udp from me to any dst-port 53 keep-state
00514     0        0 allow udp from any to me dst-port 53
00515   637    88015 allow ip from me to any
01030     0        0 allow tcp from 192.168.0.0/22 to me dst-port 20,21,80
01031     0        0 allow tcp from me 20,21,80 to 192.168.0.0/22
65534   242    41460 deny log logamount 100 ip from any to any
65535  4689   940394 allow ip from any to any

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:33:28

логх правило это не ак не найду
я сейчас без natd.cof делаю, а через

Код: Выделить всё

natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf 

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 12:38:42

Код: Выделить всё

ipfw add 505 allow tcp from any to 192.168.0.10 dst-port 6001 in setup
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:39:42

Вот лог

Код: Выделить всё

Jan 30 12:30:00 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:00 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0
Jan 30 12:30:01 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:01 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0
Jan 30 12:30:01 free kernel: ipfw: 190 Accept TCP 10.7.1.12:4201 195.151.216.53:6001 in via rl0
Jan 30 12:30:01 free kernel: ipfw: 191 Accept TCP 195.151.216.53:6001 10.7.1.12:4201 out via rl0

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 12:40:46

а где логи через другой интерфейс?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 12:41:17

и убери правила 190-191
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:47:17

00505 0 0 allow tcp from any to 10.7.1.1 dst-port 6001 in setup

тишина :(

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:53:45

Может еще какое правило надо
это правило я убрал

Код: Выделить всё

$fwcmd add 71 deny tcp from not 'table(2)' to me 6001 in via $ext_if


и natd.conf тоже, теперь только вот это и

Код: Выделить всё

natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf 
и правило

Код: Выделить всё

$fwcmd add 505 allow log tcp from any to 192.168.0.10 6001 in setup

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 12:55:04

почемуто 505 не срабатывает :(

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:04:30

так. давай с начала. а то я уже запутался с тобой.
что есть, что ты хочешь получить?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:08:52

Давай
Есть сеть в ней Freebsd с 2 картами одна внешния другая внутр в етой внутрен сети есть сервер терминал виндовый, задача из интернета попасть на терминал переброом через freebsd :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:11:36

ок. тада так
1. инет как получаешь?
2. если терминалка, то порт 3389 (если не менял)
3. на терминалке должен быть шлю по-умолчанию роутер
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:14:01

1.Инет по статическому IP и раздаеся всей сети натом
2.нет не менял
3.да шлюз роутер

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:20:36

тогда так:
192.168.0.0/24 - локалка
rl0 - локальный интерфейс
vlan12 - внешний интерфейс
192.168.0.10 - терминалка

Код: Выделить всё

allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
divert 199 ip from 192.168.0.0/24 to any out via vlan12
divert 8668 ip from 192.168.0.0/24 to any out via vlan12
divert 8668 ip from any to me in via vlan12
divert 199 ip from any to 192.168.0.0/24 in via vlan12
allow tcp from any to any established
allow tcp from any to 192.168.0.10 dst-port 3389 in via vlan12 setup
allow udp from any to any dst-port 53
allow udp from any 53 to any
deny log logamount 1000 ip from any to any
попробуй пока так
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:22:09

а, ну и нат:

Код: Выделить всё

log yes
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes

redirect_port tcp 192.168.0.10:3389 3389
стартуешь так:

Код: Выделить всё

/sbin/natd -n vlan12 -p 8668 -f /etc/natd.conf
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:23:04

Хорошо а

Код: Выделить всё

natd_flags="-redirect_port tcp 192.168.0.10:6001 6001" в rc.conf 
оставить :smile:

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:27:25

нет
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Правило в IPFW

Непрочитанное сообщение schizoid » 2009-01-30 13:28:41

что это за порт такой 6001 ?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:42:33

Да так сам придумал :smile:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:43:19

А что это правило делает

Код: Выделить всё

allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Правило в IPFW

Непрочитанное сообщение vasilastr » 2009-01-30 13:48:19

free# /sbin/natd -n vlan12 -p 8668 -f /etc/natd.conf
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: Unable to bind divert socket.: Address already in use
:(