Статья про IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
по поводу поста hizel: ipfw применяет к пакетам правила по мере увеличения их номеров. Т.е. в твоем случае сначала применялось 120, потом 8668. Если пакет подходит под какое-то правило, то оно применяется, после чего пакет выбрасывается из фаервола и следующие правила не применяются. Соответственно, у тебя пакеты попадали в 120-е правило и уходили, не добравшись до ната. в твоем случае ты запутал сам себя, поставив в конфиге правило №120 ниже по тексту, чем 8668. Кстати, ты бы юзал какие-нибудь кратные 100 номера, т.е. 100,200,300 и т.д., больше будет порядка.
При том выводе ipfw show, что ты показал, должен работать. Если не работает, опиши, как именно не работает.
При том выводе ipfw show, что ты показал, должен работать. Если не работает, опиши, как именно не работает.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Ну вот поставил 00100 правило в начало в итоге вот что получаетсяprinceps писал(а):по поводу поста hizel: ipfw применяет к пакетам правила по мере увеличения их номеров. Т.е. в твоем случае сначала применялось 120, потом 8668. Если пакет подходит под какое-то правило, то оно применяется, после чего пакет выбрасывается из фаервола и следующие правила не применяются. Соответственно, у тебя пакеты попадали в 120-е правило и уходили, не добравшись до ната. в твоем случае ты запутал сам себя, поставив в конфиге правило №120 ниже по тексту, чем 8668. Кстати, ты бы юзал какие-нибудь кратные 100 номера, т.е. 100,200,300 и т.д., больше будет порядка.
При том выводе ipfw show, что ты показал, должен работать. Если не работает, опиши, как именно не работает.
Код: Выделить всё
router# ipfw show
00100 779 66234 allow ip from any to any via re1
08668 0 0 divert 8668 ip from 192.168.1.0/24 to any out via re1
08668 0 0 divert 8668 ip from any to xxx.xxx.xxx.xxx in via re1
65535 92063 48622233 allow ip from any to any
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
ты ничего не понял из того, что я написал. правилам divert дай номера 100 и 200, а этому свое аллоу ол фром ол 300 и расположи их в конфигурационном файле в порядке возрастания номеров. С отключенным-то работал интернет или нет?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Вот что сделалprinceps писал(а):ты ничего не понял из того, что я написал. правилам divert дай номера 100 и 200, а этому свое аллоу ол фром ол 300 и расположи их в конфигурационном файле в порядке возрастания номеров. С отключенным-то работал интернет или нет?
Код: Выделить всё
${FwCMD} add 100 divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 200 divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add 300 allow all from any to any via ${LanOut}
Код: Выделить всё
router# ipfw show
00100 67 3913 divert 8668 ip from 192.168.1.0/24 to any out via re1
00200 0 0 divert 8668 ip from any to xxx.xxx.xxx.xxx in via re1
00300 233 22036 allow ip from any to any via re1
65535 32013 17064985 allow ip from any to any
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Статья про IPFW
если нат не работает в этом варианте , то неправильные настройки xxx.xxx.xxx.xxx или natd
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
так правильно, работает оно у тебя?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Вот смотри что я поменял и что сталоhizel писал(а):если нат не работает в этом варианте , то неправильные настройки xxx.xxx.xxx.xxx или natd
Код: Выделить всё
${FwCMD} add 100 divert natd all from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 200 divert natd all from any to ${NetIn}/${NetMask} in via ${LanOut}
${FwCMD} add 300 allow all from any to any via ${LanOut}
Код: Выделить всё
router# ipfw show
00100 112 8304 divert 8668 ip from 192.168.1.0/24 to any out via re1
00200 72 6328 divert 8668 ip from any to 192.168.1.0/24 in via re1
00300 404 37435 allow ip from any to any via re1
65535 49988 27473405 allow ip from any to any
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
откуда я знаю, это ты должен сказать, заработал у тебя инет в локале или нет. Так навскидку все правильно вроде.astros писал(а):Так начал работать natd или нет?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Думаю что заработал. Дальше что начинать делать???princeps писал(а):откуда я знаю, это ты должен сказать, заработал у тебя инет в локале или нет. Так навскидку все правильно вроде.astros писал(а):Так начал работать natd или нет?
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Блин парни так получается что не re1 надо прописывать в правиле а tun0 (т.е PPPoE) через него же подключается в инет а не через re1. или я что то не то сказал?
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
так работает или нет, ты не сказал
про tun я тебе не советчик - никогда как-то не довелось иметь дела с ppp на фре. Жди когда кто-нибудь знающий на твою тему внимание обратит. Попробуй по-всякому: этот конфиг с обычным белым адресом должен работать
про tun я тебе не советчик - никогда как-то не довелось иметь дела с ppp на фре. Жди когда кто-нибудь знающий на твою тему внимание обратит. Попробуй по-всякому: этот конфиг с обычным белым адресом должен работать
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
сорри, опять невнимательно твой пост читал. Так если заработал, то значит все правильно, разве нет?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Да думаю что нормально. Но вот теперь вопрос что дальше делать какие правила писать как я понял теперь нужно закрывать помоленьку иначе получается как большая огромная дыра в фаерволе моём если его можно назвать фаерволом ещё.princeps писал(а):сорри, опять невнимательно твой пост читал. Так если заработал, то значит все правильно, разве нет?
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
Ты не уверен? Проверить не можешь что ли?astros писал(а):Да думаю что нормально.
Для начала ты должен решить, что ты должен открыть, а что закрыть. В самом простом случае ты должен открыть наружу все, и закрыть снаружи все, кроме ответов на исходящие пакеты, кроме ssh, если ты удаленно снаружи сидишь. В статье Лиса описаны правила для простой конфигурации, там комментариями подписано, что конкретно они закрывают или открывают - выбирай для себя нужные.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Спасибо но думаю это не последний вопрос.princeps писал(а):Ты не уверен? Проверить не можешь что ли?astros писал(а):Да думаю что нормально.
Для начала ты должен решить, что ты должен открыть, а что закрыть. В самом простом случае ты должен открыть наружу все, и закрыть снаружи все, кроме ответов на исходящие пакеты, кроме ssh, если ты удаленно снаружи сидишь. В статье Лиса описаны правила для простой конфигурации, там комментариями подписано, что конкретно они закрывают или открывают - выбирай для себя нужные.
- brahmaparush
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-06-11 11:49:09
Re: Статья про IPFW
Ребят, у меня вопрос: Как ограничить доступ к серверу средствами IPFW только с определённых сетей ?
У меня на серваке mpd5 крутится, и зная логин/пасс может подключиться любой из мира.
Собственно говоря вопрос:
Какие правила в IPFW нужно прописать, чтобы ППТП сессия подключалась только с определённых сетей ?
К примеру,
есть сервак 192.168.1.200
Есть сети, 192.168.40.0, 192.168.41.0, 192.168.42.0, 192.168.43.0 (типа мир )
Писать что-то типа
Так ?
У меня на серваке mpd5 крутится, и зная логин/пасс может подключиться любой из мира.
Собственно говоря вопрос:
Какие правила в IPFW нужно прописать, чтобы ППТП сессия подключалась только с определённых сетей ?
К примеру,
есть сервак 192.168.1.200
Есть сети, 192.168.40.0, 192.168.41.0, 192.168.42.0, 192.168.43.0 (типа мир )
Писать что-то типа
Код: Выделить всё
ipfw add 13 allow (ip?) from 192.168.40.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.41.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.42.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.43.0/255.255.255.0 to me
- itux
- мл. сержант
- Сообщения: 114
- Зарегистрирован: 2008-11-09 12:37:55
- Откуда: Kemerovo
- Контактная информация:
Re: Статья про IPFW
Немного от темы, но о насущем:
1) Стоит МакОС Серверная, на нем ipfw
2) В настройках /etc/nat/natd.conf.apple :
в файле /etc/nat/natd.plist :
В /etc/rc.local :
ИНЕТ РАЗДАЕТСЯ, А ЛОКАЛКА ПРОВА НЕ ДОСТУПНА ИЗ МОЕЙ ЛОКАЛКИ
вот ipfw show :
делался через оболочку сервака, потому может много мусора быть
И еще вопрос:
есть два интерфейса, ppp0 - PPTP соединение до Билайна и en0 - локальное соединение билайна, en1 - Моя локалка
как настроить в моем случае НАТ для доступа из локалки к двум сетям одновременно... получается пока только по одному из двух
1) Стоит МакОС Серверная, на нем ipfw
2) В настройках /etc/nat/natd.conf.apple :
Код: Выделить всё
# This file is reserved for configuration automatically generated by the Server Admin app.
# Generated: 2009-06-19 07:34:42 +0800.
#
interface ppp0
enable_natportmap yes
alias_address ххх.ххх.ххх.ххх
dynamic no
log yes
log_denied no
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
reverse no
proxy_only no
clamp_mss yes
Код: Выделить всё
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>alias_address</key>
<string>ххх.ххх.ххх.ххх</string>
<key>clamp_mss</key>
<true/>
<key>deny_incoming</key>
<false/>
<key>dynamic</key>
<false/>
<key>enable_natportmap</key>
<true/>
<key>interface</key>
<string>ppp0</string>
<key>log</key>
<true/>
<key>log_denied</key>
<false/>
<key>proxy_only</key>
<false/>
<key>reverse</key>
<false/>
<key>same_ports</key>
<true/>
<key>unregistered_only</key>
<true/>
<key>use_sockets</key>
<true/>
</dict>
</plist>
Код: Выделить всё
/usr/sbin/pppd plugin PPTP.ppp remoteaddress vpn.internet.beeline.ru logfile /var/log/ppp.log user userid@internet.beeline.ru password userpassword defaultroute usepeerdns persist maxfail 0
/usr/sbin/natd -f /etc/nat/natd.conf.apple <- [size=150]Как сделать проверку наличия ppp0 до отработки поднятия НАТа... иначе приходится повторно поднимать его[/size]
/sbin/route add 10.0.0.0/8 10.17.0.1
вот ipfw show :
делался через оболочку сервака, потому может много мусора быть
Код: Выделить всё
pws:~ itux$ sudo ipfw show > ipfw
Password:
pws:~ itux$ cat ipfw
00001 12 732 allow udp from any 626 to any dst-port 626
00010 5182 776486 divert 8668 ip from any to any via ppp0
01000 79258 25475430 allow ip from any to any via lo0
01010 0 0 deny log logamount 1000 ip from any to 127.0.0.0/8
01020 0 0 deny log logamount 1000 ip from 224.0.0.0/4 to any in
01030 0 0 deny log logamount 1000 tcp from any to 224.0.0.0/4 in
12300 3728 630589 allow tcp from any to any established
12301 8 512 allow tcp from any to any out
12302 10 580 allow tcp from any to any dst-port 22
12302 0 0 allow udp from any to any dst-port 22
12303 4795575 359381625 allow udp from any to any out keep-state
12304 0 0 allow tcp from any to any dst-port 53 out keep-state
12304 0 0 allow udp from any to any dst-port 53 out keep-state
12305 0 0 allow udp from any to any in frag
12306 6 372 allow icmp from any to any icmptypes 8
12307 6 372 allow icmp from any to any icmptypes 0
12308 11 3707 allow udp from any to any dst-port 68
12309 0 0 allow udp from any to any dst-port 67
12310 0 0 allow tcp from any to any dst-port 123
12310 0 0 allow udp from any to any dst-port 123
12311 0 0 allow tcp from any to any dst-port 993
12312 4 192 allow tcp from any to any dst-port 995
12312 0 0 allow udp from any to any dst-port 995
12313 1 48 allow tcp from any to any dst-port 25
12313 0 0 allow udp from any to any dst-port 25
12314 0 0 allow udp from any to any dst-port 16384-16403
12315 0 0 allow tcp from any to any dst-port 5190
12315 0 0 allow udp from any to any dst-port 5190
12316 0 0 allow udp from any to any dst-port 5060
12317 0 0 allow tcp from any to any dst-port 5223
12318 14 840 allow tcp from any to any dst-port 5269
12319 0 0 allow tcp from any to any dst-port 7777
12320 17 888 allow tcp from any to any dst-port 80
12321 76 3648 allow tcp from any to any dst-port 443
12322 236 13216 allow icmp from any to any
12323 0 0 allow tcp from 10.0.0.0/8 to any established
12324 0 0 allow udp from 10.0.0.0/8 to any in frag
12325 0 0 allow udp from 10.0.0.0/8 to any out keep-state
12326 0 0 allow icmp from 10.0.0.0/8 to any
12327 3684 675389 allow gre from 10.0.0.0/8 to any
12328 0 0 allow tcp from 10.0.0.0/8 to any dst-port 1723
12329 0 0 allow icmp from 10.0.0.0/8 to any icmptypes 0
12330 0 0 allow icmp from 10.0.0.0/8 to any icmptypes 8
12331 0 0 allow tcp from 10.0.0.0/8 to any dst-port 53 out keep-state
12331 0 0 allow udp from 10.0.0.0/8 to any dst-port 53 out keep-state
12332 0 0 allow tcp from 10.0.0.0/8 to any out
12333 0 0 allow tcp from 10.0.0.0/8 to any dst-port 60001
12333 0 0 allow udp from 10.0.0.0/8 to any dst-port 60001
12334 0 0 allow udp from 10.0.0.0/8 to any dst-port 68
12335 0 0 allow udp from 10.0.0.0/8 to any dst-port 16384-16403
12336 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5190
12336 0 0 allow udp from 10.0.0.0/8 to any dst-port 5190
12337 0 0 allow udp from 10.0.0.0/8 to any dst-port 5060
12338 0 0 allow tcp from 10.0.0.0/8 to any dst-port 7777
12339 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5269
12340 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5223
12341 0 0 allow ip from 192.168.1.0/24 to any via en1 keep-state
12342 0 0 allow udp from any 68 to any dst-port 67 via en1
12343 0 0 allow ip from 127.0.0.1 to any
12344 2252 325804 allow gre from 172.31.224.0/24 to any
12345 0 0 allow icmp from 172.31.224.0/24 to any
12346 0 0 allow icmp from 172.31.224.0/24 to any icmptypes 0
12347 0 0 allow icmp from 172.31.224.0/24 to any icmptypes 8
12348 0 0 allow tcp from 172.31.224.0/24 to any dst-port 1723
12349 0 0 allow tcp from 172.31.224.0/24 to any dst-port 53 out keep-state
12349 0 0 allow udp from 172.31.224.0/24 to any dst-port 53 out keep-state
65534 407 35449 deny log logamount 1000 ip from any to any
65535 320 22400 allow ip from any to any
есть два интерфейса, ppp0 - PPTP соединение до Билайна и en0 - локальное соединение билайна, en1 - Моя локалка
как настроить в моем случае НАТ для доступа из локалки к двум сетям одновременно... получается пока только по одному из двух
несу чушь, не дорого... звонить +7903.......