IPFW правила

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
denmariupol
рядовой
Сообщения: 20
Зарегистрирован: 2009-05-02 19:48:10

IPFW правила

Непрочитанное сообщение denmariupol » 2011-04-27 10:29:36

Доброго дня.
При таком конфиге нет доступа на сервер.Что я упустил?
Помогите,пожалуйста

Код: Выделить всё

#!/bin/sh
fw="/sbin/ipfw -q "
$fw -f flush
$fw add check-state
$fw -f pipe flush
$fw -f queue flush
IIF="ng0"
NatIP="хх.хх.хх.хх"
LanOut="rl0"
LanIn="rl1"
LanIp="192.168.1.2"

#NAT--------->
$fw nat 123 config ip ${NatIP} log
$fw add 10 nat 123 ip from 192.168.1.0/24 to any
$fw add 20 nat 123 ip from any to ${NatIP}
#Loopback-------->
${fw} add allow ip from any to any via lo
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
#Allow host local------>
${fw} add allow ip from ${LanIp} to any in via ${LanIn}
${fw} add allow ip from any to ${LanIp} out via ${LanIn}
#Allow host inet--------->
${fw} add allow tcp from any to ${NatIP}  via ${IIF}
#----------------------->

${fw} add deny ip from any to any

Код: Выделить всё

den# ipfw show
00010   3276    522153 nat 123 ip from 192.168.1.0/24 to any
00020   1013     70026 nat 123 ip from any to хх.хх.хх.хх
00100      0         0 check-state
00200      0         0 allow ip from any to any via lo
00300      1        60 deny ip from any to 127.0.0.0/8
00400      0         0 deny ip from 127.0.0.0/8 to any
00500      0         0 allow ip from 192.168.1.2 to any in via rl1
00600    996     69016 allow ip from any to 192.168.1.2 out via rl1
00700      0         0 allow tcp from any to хх.хх.хх.хх via ng0
00800    234     11409 deny ip from any to any
65535 636186 205346488 allow ip from any to any


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW правила

Непрочитанное сообщение hizel » 2011-04-27 12:48:26

начните с того, что НАТить надо на аплинковом интерфейсе, посмотрите в рукокниге примеры ipfw правил
ng0 это mpd? там есть встроенный nat на этот случай
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Charlz_Klug_
проходил мимо

Re: IPFW правила

Непрочитанное сообщение Charlz_Klug_ » 2011-04-27 12:58:30

denmariupol писал(а): ${fw} add allow ip from any to any via lo
Вроде пишется lo0. Если не ошибаюсь.

denmariupol
рядовой
Сообщения: 20
Зарегистрирован: 2009-05-02 19:48:10

Re: IPFW правила

Непрочитанное сообщение denmariupol » 2011-04-27 13:18:58

hizel писал(а):начните с того, что НАТить надо на аплинковом интерфейсе, посмотрите в рукокниге примеры ipfw правил
ng0 это mpd? там есть встроенный nat на этот случай
Можно подробнее,какая разница на чем натить?
С натом проблем нет,есть проблемы с доступом.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: IPFW правила

Непрочитанное сообщение FreeBSP » 2011-04-27 16:18:36

в предположении, что 1,2 - это сама машина
читаем, переводим

Код: Выделить всё

00500      0         0 allow ip from 192.168.1.2 to any in via rl1
Разрешить ip трафик, входящий через rl1, от меня куда угодно

Код: Выделить всё

00600    996     69016 allow ip from any to 192.168.1.2 out via rl1
Разрешить ip трафик, исходящий через rl1, откуда угодно ко мне

это нормально?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Гость
проходил мимо

Re: IPFW правила

Непрочитанное сообщение Гость » 2011-04-27 16:37:31

192.168.1.2 это машина с виндой.Люди я прошу помощи с конкретной проблемой,которая меня парит и с которой хочу разобраться.Остальное работает и меня не парит.

Собстно заработало,
${fw} add allow ip from any to хх.хх.хх.хх out via ${IIF}
только я не понимаю почему?.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: IPFW правила

Непрочитанное сообщение Bayerische » 2011-04-27 21:12:37

Через попу заработало.
Ещё раз: читаем пост от FreeBSP.
Если переписать по-человечески, будет работать. И при этом, станет понятно, почему.

denmariupol
рядовой
Сообщения: 20
Зарегистрирован: 2009-05-02 19:48:10

Re: IPFW правила

Непрочитанное сообщение denmariupol » 2011-04-28 4:57:15

Bayerische писал(а):Через попу заработало.
Ещё раз: читаем пост от FreeBSP.
Если переписать по-человечески, будет работать. И при этом, станет понятно, почему.
да причем тут пост от FreeBSP?
Это правила разрешения локалки (192.168.1.2) в инет.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: IPFW правила

Непрочитанное сообщение FreeBSP » 2011-04-28 8:16:17

800 правилом ставишь allow log all
и смотришь что разрешается.
по необходимости гуглишь
ipfw resetlog

кроме того
берешь пакет, который тебе нужен, выписываешь некоторые его ip и tcp заголовки (src, dst, sport, dport, мож еще чего..), берешь бумажку и вручную прогоняешь его по всем правилам и выписываешь, подходит пакет или нет и что с ним происходит

заработало действительно через ****, смотри правило 800 - на нем режется слишком много всего лишнего
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!