ipfw интернет пользователям и доступ из вне.

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SnoopCat
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-10-19 14:47:23

ipfw интернет пользователям и доступ из вне.

Непрочитанное сообщение SnoopCat » 2015-10-19 15:51:58

Здравствуйте! Тема битая перебитая, но что-то не могу догнать.))))
Нужно раздать интернет конкретным ip локальной сети и дать доступ из вне с конкретным ip.

Код: Выделить всё

!/bin/sh
FwCMD="/sbin/ipfw"

ExFace="em0"
NetOut="192.168.100.3/24"
IpOut="192.168.100.137"
in_ip="192.168.100.3"


InFace="em1"
NetIn="172.20.0.0/16"
ip_lan="172.20.0"




${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush



${FwCMD} table 1 flush
${FwCMD} table 1 add 172.20.0.33
${FwCMD} table 1 add 192.168.100.19


${FwCMD} table 2 flush
${FwCMD} table 2 add 192.168.100.19
${FwCMD} table 2 add 192.168.100.7


${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add allow all from any to any via ${InFace}
${FwCMD} add allow tcp from table\(2\) to me 22 via ${ExFace}
${FwCMD} add allow tcp from table\(2\) to me 80 via ${ExFace}


${FwCMD} nat 1 config log if ${ExFace} reset same_ports deny_in \
redirect_port tcp 172.20.0.33:3389 3390
${FwCMD} add nat 1 ip from 172.20.0.33 to any via ${ExFace}
${FwCMD} add nat 1 ip from any to 192.168.100.19 via ${ExFace}

При таком раскладе есть доступ из вне, но нет интернета у пользователей локальной сети.
Если добавить:

Код: Выделить всё

${FwCMD} add nat 1 ip from any to any via ${ExFace}
, то будет и интернет и доступ из вне всем. Подскажите , что не так...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35292
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

ipfw интернет пользователям и доступ из вне.

Непрочитанное сообщение Alex Keda » 2015-10-20 13:18:56

Код: Выделить всё

ipfw show
Убей их всех! Бог потом рассортирует...

SnoopCat
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-10-19 14:47:23

ipfw интернет пользователям и доступ из вне.

Непрочитанное сообщение SnoopCat » 2015-10-21 12:55:53

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw"
ExFace="em0"
NetOut="192.168.100.3/24"
IpOut="192.168.100.137"
in_ip="192.168.100.3"

InFace="em1"
NetIn="172.20.0.0/16"
ip_lan="172.20.0"

${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush

${FwCMD} table 1 flush
${FwCMD} table 1 add 172.20.0.33
${FwCMD} table 1 add 172.20.0.35

${FwCMD} table 2 flush
${FwCMD} table 2 add 192.168.100.19
${FwCMD} table 2 add 192.168.100.7

${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add allow all from any to 172.20.0.33 via ${InFace}
${FwCMD} add allow all from 172.20.0.33 to any via ${InFace}

${FwCMD} add allow tcp from table\(2\) to me 22 via ${ExFace}
${FwCMD} add allow tcp from table\(2\) to me 80 via ${ExFace}

${FwCMD} nat 1 config log if ${ExFace} reset same_ports deny_in \
redirect_port tcp 172.20.0.33:3389 3390
${FwCMD} add nat 1 ip from any to 192.168.100.19 via ${ExFace}
${FwCMD} add nat 1 ip from 192.168.100.19 to any via ${ExFace}

${FwCMD} nat 2 config log if ${ExFace} reset same_ports deny_in
${FwCMD} add nat 2 ip from any to any via ${ExFace}

Код: Выделить всё

$ ipfw show
00100    132    34004 allow ip from any to any via lo0
00200      0        0 deny ip from any to 127.0.0.0/8
00300      0        0 deny ip from 127.0.0.0/8 to any
00400    837    51231 allow ip from any to 172.20.0.33 via em1
00500    924    66629 allow ip from 172.20.0.33 to any via em1
00600    104     9645 allow tcp from table(2) to me dst-port 22 via em0
00700      0        0 allow tcp from table(2) to me dst-port 80 via em0
00800     57     8653 nat 1 ip from any to 192.168.100.19 via em0
00900   2375   313151 nat 1 ip from 192.168.100.19 to any via em0
01000 113850 10237131 nat 2 ip from any to any via em0
65535 114688  9897868 deny ip from any to any
При таком раскладе контролирую доступ из вне и интернет для конкретных внутренних ip. Но если я пускаю в интернет внутренний ip, то он получает полный доступ по всем портам. При помощи nat получается контролировать порты, но нужно без nat, в LInux просто дропается конкретный порт или диапазон, и разрешается конкретным ip, но здесь такой принцип не работает.
Цель контролировать доступ с конкретных ip, как с наружи, так и изнутри, так же полный контроль портов.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35292
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

ipfw интернет пользователям и доступ из вне.

Непрочитанное сообщение Alex Keda » 2015-10-22 0:17:11

так... а поясните тогда что вы имеете ввиду под
SnoopCat писал(а): Нужно раздать интернет конкретным ip локальной сети и дать доступ из вне с конкретным ip.
Убей их всех! Бог потом рассортирует...