Статья про IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Статья про IPFW
Приветсвую ВСЕХ. Дело в следующем прочитал одну статейку http://kes.net.ua/softdev/advanced_firewall.html , и хотелось бы узнать ваше мнение на счёт такой настройки IPFW, что думаете??? может есть более эффективные нибудь, настройки чем в этой статьи. Или как там было описано всё таки применить "плоскую" конфигурацию файрвола. Правда попробовал я настроить по этой статье не получилось.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
Здесь при форуме есть еще сайт
http://www.lissyara.su/?id=1127
http://www.lissyara.su/?id=1127
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Читал всё на этом сайте. Несколько из них пробовал, но что то не срасталось хотя старался, и эту статью тоже пробовал говорю что то не срасталось не получалось.princeps писал(а):Здесь при форуме есть еще сайт
http://www.lissyara.su/?id=1127
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
А что не получалось?astros писал(а): Читал всё на этом сайте. Несколько из них пробовал, но что то не срасталось хотя старался, и эту статью тоже пробовал говорю что то не срасталось не получалось.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Да уже не помню. Вот счаз сижу как дурак полностью открытый по всем портам так как собирал IPFIREWALL_DEFAULT_TO_ACCEPT (но это не проблема пересобрать ядро). Не могу подобрать себе работающий 100% вариант. А потом и от этого плясать дальше.princeps писал(а):А что не получалось?astros писал(а): Читал всё на этом сайте. Несколько из них пробовал, но что то не срасталось хотя старался, и эту статью тоже пробовал говорю что то не срасталось не получалось.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
у меня в свое время по статье лиса все заработало с полпинка. Напиши подробней, что не получается. И ядро все-таки пересобери
Смотря что понимать под словом "работающий". Чтоб раздавать интернет на локальную сеть, достаточно добавить в /etc/rc.confastros писал(а):Не могу подобрать себе работающий 100% вариант.
Код: Выделить всё
gateway_enable="YES"
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
По сути мне надо что бы было следующее. Что имеем прокси FreeBSD 7.0 небольшой компик (на нём хотелось развернуть, что бы можно было смотреть, так сказать кто куда ходил, считать трафик и вообще всю статистику где, кто, зачем и т.д), хаб 5 портовый и 3 машины в локали (позже пару ещё компов можно поставить). 1 машина домашняя т.е (рабочая стоят там окошки, и SUSE), 2 машина планировалась под веб-сервер (там будет крутиться несколько сайтов), 3 машина игровой сервер (WOW) планировалась. IP-белый. Подключение через сетевую PPPoE. Безлимит пока 512Кбит(можно сделать больше). Ну в общем всё.princeps писал(а):у меня в свое время по статье лиса все заработало с полпинка. Напиши подробней, что не получается. И ядро все-таки пересобериСмотря что понимать под словом "работающий". Чтоб раздавать интернет на локальную сеть, достаточно добавить в /etc/rc.confastros писал(а):Не могу подобрать себе работающий 100% вариант.Код: Выделить всё
gateway_enable="YES"
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
Так. Все это, в принципе, реализуется на раз-два. Что не получается?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Для начала хотя бы IPFW настроить. Читал много статей. Уже вроде как начал понимать как он работает но когда начинаешь что либо делать то одно не идёт то второе не идёт.princeps писал(а):Так. Все это, в принципе, реализуется на раз-два. Что не получается?
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
дружище, ты пиши, что именно не получается. Не раздается инет на сеть после включения ipfw?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- проходил мимо
Re: Статья про IPFW
ну тогда вот что у меня сейчас. Ядро собрано вот какprinceps писал(а):дружище, ты пиши, что именно не получается. Не раздается инет на сеть после включения ipfw?
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT
Код: Выделить всё
#!/bin/sh
#первый параметр к скрипту это start|stop|reload
#разрешаем задать путь к ipfw
if [ -n "${2}" ]; then
fwcmd=${2}
else
fwcmd="/sbin/ipfw" #если ничего не задали
fi
workDir="/usr/local/etc/firewall"
start () {
#This rule set are independed. So run it first. Загружаем файл с набором каналов
. $workDir/f-pipes.ipfw
#We wanna count something??? Файл с набором коунтеров
if [ -f $workDir/f-count.ipfw ]; then
. $workDir/f-count.ipfw
fi
#Файл с набором по умолчанию
if [ -f /$workDir/f-defaults.ipfw ]; then
num=00
. $workDir/f-defaults.ipfw
fi
#Интерфейс (внутренняя сеть), re0 имеет нумерацию на 10000, поэтому num = 10
num=10
. $workDir/f_re0
#Интерфейс (инет), re1 имеет нумерацию на 11000, поэтому num = 11
num=11
. $workDir/f_re1
#Интерфейс tun0 имеет нумерацию на 12000, поэтому num = 12
# num=12
# . $workDir/f_tun0
#Обратите внимание наличие точки и пробела в комманде ". $workDir/f_tun0" обязательно. Без них работать ничего не будет. This rule must be runned last to be the last record in
#по умолчанию весь трафик идет на 65000 правила. Nо умолчанию дропаем всё и пишем в лог
${fwcmd} add 9999 skipto 65000 all from any to any
${fwcmd} add 65534 deny log all from any to any
}
#удаляем все правила, пайпы, очереди
stop () {
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
}
#Разрешаем работу обратной петли. правило 99!
setup_loopback () {
############
# Only in rare cases you want to change these rules
${fwcmd} add 99 pass all from any to any via lo0
${fwcmd} add 99 deny all from any to 127.0.0.0/8
${fwcmd} add 99 deny ip from 127.0.0.0/8 to any
}
#Статистика перезапуска файрвола
echo `date` >> /etc/reboot
case ${1} in
start)
setup_loopback
start
;;
stop)
stop
;;
reload)
stop
setup_loopback
start
;;
*)
echo "Usage: `basename ${0}` { start | stop | reload& } "
echo "WARNING!!! WARNING!!! WARNING!!! WARNING!!! WARNING!!!"
echo "Don't foget to add '&' if you reload the firewall remoutly"
;;
esac
Код: Выделить всё
#!/bin/sh
iface="re0"
#перенаправляем трафик с общего потока на правила которые отвечают за интерфейс "${iface}"
${fwcmd} add 9999 skipto ${num}000 all from any to any via ${iface}
#хх000 - хх099 зарезервировано. Также как и для правил 00001- 00089 используется для "горячих" целей или тестирования
#хх101 - хх199 блокируем весь нежелательный трафик здесь. Например если на интерфейсе висит сеть 192.168.1.0/24, то дропаем всё, что не с этой сети:
#хх201 - хх299 этот диапазон идеален для правил подсчета (count) трафика для исхода, тк. здесь трафик ещё не попал в диверт (виден src-ip)
#xx301 - xx399 здесь можно расположить skipto xx500 правила, если мы не хотим чтобы они попадали в очередь и/или шейпер. Однако этого я бы не рекомендовал делать.
#хх401 - хх499 ложим исходящий трафик в очередь и/или канал. Вы должны сделать это до диверта, тк. после диверта весь исходящий трафик получит Ваш внешний IP
#хх501 - хх599 дивертим входящий/исходящий трафик тут.
#хх601 - хх699 этот диапазон идеален для правил подсчета (count) трафика для входа, тк. здесь трафик ещё уже прошел диверт (виден dst-ip)
#хх701 - хх799 здесь можно расположить skipto хх900 правила, если мы не хотим чтобы они попали в очередь и/или шейпер. Однако этого я бы не рекомендовал делать.
#хх801 - хх899 ложим входящий трафик в очередь и/или канал. Вы должны сделать это после диверта, тк. до диверта весь входящий трафик имеет Ваш внешний IP.
#хх901 - хх997 разрешающие правила. Т.к. у нас файрвол закрытый, то это обязательная часть файрвола, где мы должны указать какой трафик разрешен. Если это внешний интерфейс, то
# Разрешаем работу в внутренней сети.
${fwcmd} add ${num}901 allow ip from any to 192.168.1.0/24 in via ${iface}
${fwcmd} add ${num}901 allow ip from 192.168.1.0/24 to any out via ${iface}
# Пользователи которым разрешён инет.
${fwcmd} add ${num}902 allow tcp from 192.168.1.4 to not 192.168.1.0 in via ${iface} setup
#хх998 здесь должно быть правило: deny log all from any to any via ${iface}
${fwcmd} add ${num}998 deny log all from any to any via ${iface}
#хх999 здесь должно быть правило: skipto 65000 ip from any to any
${fwcmd} add ${num}999 skipto 65000 ip from any to any
Код: Выделить всё
#!/bin/sh
iface="re1"
#Isolate traffic via "${iface}" for decrease number of passing via firewall rules
${fwcmd} add 9999 skipto ${num}000 all from any to any via ${iface}
#хх000 - хх099 зарезервировано. Также как и для правил 00001- 00089 используется для "горячих" целей или тестирования.
#хх101 - хх199 блокируем весь нежелательный трафик здесь. Например если на интерфейсе висит сеть 192.168.1.0/24, то дропаем всё, что не с этой сети.
#хх201 - хх299 этот диапазон идеален для правил подсчета (count) трафика для исхода, так, здесь трафик ещё не попал в диверт (виден src-ip)
#xx301 - xx399 здесь можно расположить skipto xx500 правила, если мы не хотим чтобы они попадали в очередь и/или шейпер. Однако этого я бы не рекомендовал делать.
#хх401 - хх499 ложим исходящий трафик в очередь и/или канал. Вы должны сделать это до диверта, тк. после диверта весь исходящий трафик получит Ваш внешний ИП.
#хх501 - хх599 дивертим входящий/исходящий трафик тут.
#хх601 - хх699 этот диапазон идеален для правил подсчета (count) трафика для входа, тк. здесь трафик ещё уже прошел диверт (виден dst-ip).
#хх701 - хх799 здесь можно расположить skipto хх900 правила, если мы не хотим чтобы они попали в очередь и/или шейпер. Однако этого я бы не рекомендовал делать.
#хх801 - хх899 ложим входящий трафик в очередь и/или канал. Вы должны сделать это после диверта, так, до диверта весь входящий трафик имеет Ваш внешний IP.
#хх901 - хх997 разрешающие правила. Т.к. у нас файрвол закрытый, то это обязательная часть файрвола, где мы должны указать какой трафик разрешен. Если это внешний интерфейс, то
#хх998 здесь должно быть правило: deny log all from any to any via ${iface}
${fwcmd} add ${num}998 deny log all from any to any via ${iface}
#хх999 здесь должно быть правило: skipto 65000 ip from any to any
${fwcmd} add ${num}999 skipto 65000 ip from any to any
вот скрипт f-defaults.ipfw
Код: Выделить всё
#!/bin/sh
${fwcmd} add 09999 skipto 10000 all from any to any via re0
${fwcmd} add 09999 skipto 11000 all from any to any via re1
${fwcmd} add 09999 skipto 65000 ip from any to any
${fwcmd} add 10999 skipto 65000 ip from any to any
${fwcmd} add 11999 skipto 65000 ip from any to any
Код: Выделить всё
#!/bin/sh
# считаем наш трафик к/от провайдера
${fwcmd} add ${num}103 count all from any to any in recv re1
${fwcmd} add ${num}104 count all from any to any out xmit re1
# обычно на интерфейсе может шнырять всякая лабуда типа router discovery, DHCP, броадкасты, поэтом
${fwcmd} add ${num}105 count all from any to xxx.xxx.xxx.xxx in recv re1
${fwcmd} add ${num}106 count all from xxx.xxx.xxx.xxx to any out xmit re1
# считаем трафик на IP 192.168.1.4
${fwcmd} add ${num}107 count all from 192.168.1.4 to 192.168.1.1 in recv re0
${fwcmd} add ${num}108 count all from 192.168.1.1 to 192.168.1.4 out xmit re0
Код: Выделить всё
router# ping ya.ru
ping: cannot resolve ya.ru: Host name lookup failure
Код: Выделить всё
router# ping xxx.xxx.xxx.xxx
PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
Код: Выделить всё
00099 0 0 allow ip from any to any via lo0
00099 0 0 deny ip from any to 127.0.0.0/8
00099 0 0 deny ip from 127.0.0.0/8 to any
00103 251 36281 count ip from any to any in recv re1
00104 0 0 count ip from any to any out xmit re1
00105 0 0 count ip from any to xxx.xxx.xxx.xxx in recv re1
00106 0 0 count ip from xxx.xxx.xxx.xxx to any out xmit re1
00107 519 30200 count ip from 192.168.1.4 to 192.168.1.1 in recv re0
00108 574 123424 count ip from 192.168.1.1 to 192.168.1.4 out xmit re0
09999 2773 362810 skipto 10000 ip from any to any via re0
09999 251 36281 skipto 11000 ip from any to any via re1
09999 3020 289391 skipto 65000 ip from any to any
09999 0 0 skipto 10000 ip from any to any via re0
09999 0 0 skipto 11000 ip from any to any via re1
09999 0 0 skipto 65000 ip from any to any
10901 539 31912 allow ip from any to 192.168.1.0/24 in via re0
10901 566 122352 allow ip from 192.168.1.0/24 to any out via re0
10902 589 28272 allow tcp from 192.168.1.4 to not 192.168.1.0 in via re0 setup
10998 1049 164895 deny log logamount 5 ip from any to any via re0
10999 15 7276 skipto 65000 ip from any to any
10999 0 0 skipto 65000 ip from any to any
11998 251 36281 deny log logamount 5 ip from any to any via re1
11999 0 0 skipto 65000 ip from any to any
11999 0 0 skipto 65000 ip from any to any
65534 2998 269591 deny log logamount 5 ip from any to any
65535 1661577 1090551801 allow ip from any to any
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Блин не заметил что гостем зашёл. И отправил настройки фаерволла.
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Блин ну парни помогите ё маё, кто прекрасно шарит в этом тому пару пустяков обьяснить, как два пальца об асфальт. Зато много вопросов отпадёт у новичков. Да и будет хоть ещё один пример настройки ipfw. Чем не статья для написания.
-
- рядовой
- Сообщения: 24
- Зарегистрирован: 2009-03-09 19:23:49
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Что показать то??? вы скажите я все покажу что нужноbekhterev писал(а):Что надо - в студию. ПОДРОБНО!
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
ipfw show покажи
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
А, сорри, плохо читал твой пост от гостя. У тебя нат-трансляции нету.
Кроме того, раз у тебя все равно allow всем везде, напиши сначала простой конфиг, а потом закрывай ненужные порты по одному, так будет проще разобраться. А то в тех портянках, которые ты вывалил, черт ногу сломит.
Кроме того, раз у тебя все равно allow всем везде, напиши сначала простой конфиг, а потом закрывай ненужные порты по одному, так будет проще разобраться. А то в тех портянках, которые ты вывалил, черт ногу сломит.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
К провайдеру ты по ppp подключаешься или как?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Да через PPPoE там всё отлично подключается как надо.princeps писал(а):К провайдеру ты по ppp подключаешься или как?
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
пробовал по этой статье делать со своими изменениями типа название сетевых карт ip и т.д http://www.lissyara.su/?id=1127 тоже нет инета. пробовал два варианта оба не работали у мну.
-
- рядовой
- Сообщения: 24
- Зарегистрирован: 2009-03-09 19:23:49
Re: Статья про IPFW
Конфигури рками.astros писал(а):пробовал по этой статье делать со своими изменениями типа название сетевых карт ip и т.д http://www.lissyara.su/?id=1127 тоже нет инета. пробовал два варианта оба не работали у мну.
Код: Выделить всё
ipwd add 10 pass from any to any via ed0
Зачем скрипты пользовать, запутаться окончательно хочешь?
Если нат на динамическом интерфейсе, то и демон натд надо поднимать с соответствующими параметрами.
Что делаю, то и пишу
http://behterev.su/
http://behterev.su/
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2009-03-26 16:54:42
- Откуда: г.Чита
- Контактная информация:
Re: Статья про IPFW
Да если чесно я уже запутался писец. Сча домой приду да снова возьмусь за фаерволл.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Статья про IPFW
Я выскажусь в пользу кернел ната. Топикстартер, не читай, это я для бехтерева, а то запутаешься вконецbekhterev писал(а):то и демон натд надо поднимать с соответствующими параметрами.
Я что-то в его конфигах вообще нигде динамического интерфейса не увидел, только сетевые карты. Может быть проблема не в фаерволе, а в подключении по pppoe?bekhterev писал(а): Если нат на динамическом интерфейсе, то и демон натд надо поднимать с соответствующими параметрами.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Статья про IPFW
боевое сравнение kernel nat и pf nat в пользу первого
http://forum.nag.ru/forum/index.php?showtopic=47497
http://forum.nag.ru/forum/index.php?showtopic=47497
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2009-03-03 17:35:08
Re: Статья про IPFW
Я и не имел ввиду пфнат, а именно кернел нат, только для его работы надо бы еще и демон запустить.
РРРоЕ это не динамический интерфейс? имеется ввиду поднимается/падает?
Я - не запутаюсь :-)
РРРоЕ это не динамический интерфейс? имеется ввиду поднимается/падает?
Я - не запутаюсь :-)