IPFW раз и навсегда))

[VANO2006OE]

Привет всем любителям и пользователям замечательной системы под названием FreeBSD.Судя по вашему ресурсу, я очень признателен создателю и рад за то что многое подчеркнул отсюда, спасибо.Просьба не бить мягко (можно сразу убить) и т.д ...но это лирика)))Обращаюсь действительно к спецам (если они действительно есть), вот по какому вопросу.Я конечно понимаю что у этой системы есть много защиты и т.д., никого переубеждать не собираюсь
и меня если можно тоже ненадо убеждать)). Но прошу помощи в разрешении проблемы над которой уже месяц бьюсь, очень сильно изучаю маны конфиги и т.д.,просьба тоже ненадо меня отправлять на маны))).
И так мой конфиг: FreeBSD 7.4-RELEASE
Как обычно две сетевухи одна смотрит в инет на провайдера(айпи получает от провайдера динамически при помощи DHCP скажем сеть 10.179.*.*/24, естественно айпи у нас разный ), другая во внутрь сети, ну тут конечно мы хозяева сеть: 192.168.*.*(айпи я думаю не имеет значения, можно любой другой поставить, можно и постоянный и разный, я раздаю в сеть динамический, т.к установил в свою внутреннию сеть сервер DHCP)
Опять таки напоминаю я лишь изучаю эту систему и прошу помощи чтобы разобрать её по косточкам))
Всё встало ребром когда я начал изучать ipfw, без него(и даже с ним)я поднимал mpd5 и инет без проблем работал с локальной сети(но с ним мпд поднимался а с локалки инета небыло)), Нат"д" работал хорошо деверт тоже и т.д, всё без проблем, но скока не рыл в инете никак не мог найти правила именно для динамики(прова), т.е если пишишь в конфиге файрвола айпишники и кстати туннель тоже в динамике и вот незнаешь как его писать или я чего то непонимаю вообще как пакеты идут и смысл этого тунеля(хотя нет смысл понятен что он выдаёт белый айпи и т.д)???Т.е сначала пров даёт динамический айпи по сети потом даёт туннель тоже по динамике,а вот связь какая???Т.е пакет идёт по туннели потом попадает в ??? сетевуху с провом или в сетевуху во внутреннию тоже непойму))) и в соответсвии с этим непойму как составлять правила и чего резать)))
так или иначе конфиг файрвола даю)))

Код: Выделить всё

#!/bin/sh

ipfw="/sbin/ipfw"

#Внешняя сетевуха на провайдера
ournet_ifout="vr0"
ournet_net="10.179.*.*/24" # вот тут тоже непонятно как показывать сеть прова? ругается фаер хоть убей))
ournet_ip="10.179.45.170" # айпи этой сетевухи тут тоже непонятно т.к динамически но фаер вроде не ругается, #что ставить?

#Внутрення сетевуха в местную локалку
uprefix_ifuser="rl0"
uprefix_net="192.168.0.0/24" #ну тут вроде ничего такого т.к уже под нашей власти)
uprefix_ip="192.168.0.1" #айпи сетевухи

#Локальный комп скажем под хр и его айпи
uprefix_ip2="192.168.0.2"

#Тут сам интерфейс VPN тоже с непонятками)))

outnet_ifout="ng0" # тут фаер ругается что нет его хотя перегружаю правила по sh даже с поднятым vpn и белым
#айпи выданным провом
outnet_ip="DHCP" # тоже непонятки как ставить?))

${ipfw} -f flush

${ipfw} add 100 check-state


тут разрешаем петлю и т.д
тут разрешаем днс и т.д
тут гре и т.д 
Т.е тут всё нормально у меня поднимается туннель но вот дальше что??

Кто нибудь поможет или хотябы дать пинка в нужную сторону))))Спс заранее)))

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Charlz_Klug_]

Чтобы вытащить динамическое ip попробуйте такой метод:

Код: Выделить всё

ournet_ip=`ifconfig tun0 | grep -E 'inet.[0-9]' | grep -v '127.0.0.1' | awk '{ print $2}'`

Вместо tun0 поставить тот тунель который поднимается у Вас. Я пользуюсь ppp. И ещё, добавил в ppp.linkup команду для перезапуска фаервола:

Код: Выделить всё

[Charlz_Klug@Meleena /etc/ppp]$ cat ppp.linkup 
MYADDR:
 !bg /bin/sh /usr/local/etc/ipfw.conf
 !bg /bin/sh /usr/home/Charlz_Klug/IpToMail/iptomail.sh

[Charlz_Klug@Meleena /etc/ppp]$ 

[VANO2006OE]

Спс очень полезная опция как раньше сам недогадался)))Так а для моей сети конфиг можно файрвола а я уж там сам буду разбирать? я понимаю что у всех всё по разному, но протоколы то у всех одинаковые. Вот скажем ходить хочу из своей сети 192.168.0.2 в инет)))и ещё лучше блочить по сетевым на каждую отдельно или по протоколом как проще? конечно можно и так и сяк но всё же?

[Charlz_Klug_]

Так а для моей сети конфиг можно файрвола а я уж там сам буду разбирать?

Ладно, выкладываю свой фаервол

Код: Выделить всё

[Charlz_Klug@Meleena ~]$ cat /usr/local/etc/ipfw.conf
#!/bin/sh
fw="/sbin/ipfw  "
oif="tun0" #Внешний интерфейс
oip=`ifconfig tun0 | grep -E 'inet.[0-9]' | grep -v '127.0.0.1' | awk '{ print $2}'` #IP адрес внешнего интерфейса
iif="em0" #Внутренний интерфейс
iip="192.168.0.*" #IP внутреннего интерфейса

lan="192.168.0.0/24" #Моя подсеть

#Всякие ip-шники которые пользуются банк-клиентом
pdc="192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*"
pl="192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*"


${fw} -f flush


${fw} table all flush

#Tablica 2 - dlya polzovateley s neogranichennoy skorostyu v internet
${fw} table 2 add 192.168.0.*
${fw} table 2 add 192.168.0.*


${fw} add allow ip from any to any via lo0

#Доступ к шлюзу по ssh через Интернет
${fw} add allow icmp from not ${lan} to me icmptypes 0,3,4,8,11,12 via ${oif}
${fw} add allow ip from not ${lan} to me dst-port 22 via ${oif}
${fw} add allow icmp from any to any icmptypes 0,3,4,8,11,12

#Бережёмся от непонятных адресов
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
${fw} add deny ip from any to 10.0.0.0/8 in via ${oif}
${fw} add deny ip from any to 172.16.0.0/12 in via ${oif}
${fw} add deny ip from any to 0.0.0.0/8 in via ${oif}
${fw} add deny ip from any to 169.254.0.0/16 in via ${oif}
${fw} add deny ip from any to 240.0.0.0/4 in via ${oif}
${fw} add deny ip from any to 10.0.0.0/8 out via ${oif}
${fw} add deny ip from any to 172.16.0.0/12 out via ${oif}
${fw} add deny ip from any to 0.0.0.0/8 out via ${oif}
${fw} add deny ip from any to 169.254.0.0/16 out via ${oif}
${fw} add deny ip from any to 240.0.0.0/4 out via ${oif}

${fw} add allow ip from ${lan} to ${lan} via ${iif}


#Razreshaem dostup iz localnoy seti himmash na game.chirkom.uz (84.54.74.150) i nod32.chirkom.uz(84.54.74.227)
${fw} add allow ip from ${lan} to 84.54.74.150, 84.54.74.227 via ${iif}

${fw} add allow ip from ${lan} to 192.168.0.0/24 via ${iif}
${fw} add allow ip from ${lan} to 192.168.20.0/24 via ${iif}

#Доступ к банку-клиенту
${fw} add allow ip from ${pl} to 217.29.118.22,81.95.227.98,77.220.195.38,94.141.69.218,213.206.33.214 via ${iif}

#Доступ к майл агенту, будь он неладен
${fw} add allow ip from "table(1)" to 217.69.129.211 via ${iif}

#Без лимитный доступ к интернет, для избранных.
${fw} add allow ip from "table(2)" to any via ${iif}

#==NAT==
${fw} nat 2  config  if ${oif} reset same_ports deny_in
${fw} add nat 2 ip from any to any via ${oif}

#==Warcraft==
${fw} add allow tcp from any to any established
${fw} add allow ip from ${oip} to any out xmit ${oif}
#==DNS==

${fw} add allow udp from any to any 53
${fw} add allow udp from any 53 to any

${fw} add allow icmp from any to any icmptype 0,3,4,8,11,12

${fw} add allow log tcp from ${lan} to any 5190,25,2041 in via ${iif} setup


#==80 port out==
${fw} add deny log ip from any to any

[Charlz_Klug@Meleena ~]$

Использую не прозрачный squid.

[snorlov]

Спс очень полезная опция как раньше сам недогадался)))Так а для моей сети конфиг можно файрвола а я уж там сам буду разбирать? я понимаю что у всех всё по разному, но протоколы то у всех одинаковые. Вот скажем ходить хочу из своей сети 192.168.0.2 в инет)))и ещё лучше блочить по сетевым на каждую отдельно или по протоколом как проще? конечно можно и так и сяк но всё же?

Начните с чтения книжек(пособий) по TCP/IP, без его знаний настроить ipfw, как впрочем и pf, под ваши нужды, а они ваши и у других могут и не быть, не удастся...

[VANO2006OE]

Начните с чтения книжек(пособий) по TCP/IP, без его знаний настроить ipfw, как впрочем и pf, под ваши нужды, а они ваши и у других могут и не быть, не удастся..


Уважаемый конечно же я изучаю))) я бы не стал сюда писать т.к раздел для начинающих))))одних протоколов только более 250 штук)))) я поэтому и исчу)) ) единомышленников потому что когда вместе это же прекрасно да и есчо для других поменьше грабель))) я не новичок в компьютерном мире и знаю что такой трафик и самба)))

[VANO2006OE]

И ещё небольшой так скажем КРИК)))души, да я знаю много инфы, в инете много в книжках и лукас у меня тоже есть и т.д)))НО я думаю многие начинали с чего то и многие через это прошли вот когда начинаешь углублятся в юникс становится даже очень просто и задумываешся как же я раньше не мог понять элементарного))))Такой вот парадокс этой воистину мощной системы.....конечно что изучение стека пакетов и протоколы это маленькая толика ........упс чего то я в лирику сорри))

[VANO2006OE]

Так а для моей сети конфиг можно файрвола а я уж там сам буду разбирать?

Ладно, выкладываю свой фаервол

Код: Выделить всё

[Charlz_Klug@Meleena ~]$ cat /usr/local/etc/ipfw.conf
#!/bin/sh
fw="/sbin/ipfw  "
oif="tun0" #Внешний интерфейс
oip=`ifconfig tun0 | grep -E 'inet.[0-9]' | grep -v '127.0.0.1' | awk '{ print $2}'` #IP адрес внешнего интерфейса
iif="em0" #Внутренний интерфейс
iip="192.168.0.*" #IP внутреннего интерфейса

lan="192.168.0.0/24" #Моя подсеть

#Всякие ip-шники которые пользуются банк-клиентом
pdc="192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*"
pl="192.168.0.*,192.168.0.*,192.168.0.*,192.168.0.*"


${fw} -f flush


${fw} table all flush

#Tablica 2 - dlya polzovateley s neogranichennoy skorostyu v internet
${fw} table 2 add 192.168.0.*
${fw} table 2 add 192.168.0.*


${fw} add allow ip from any to any via lo0

#Доступ к шлюзу по ssh через Интернет
${fw} add allow icmp from not ${lan} to me icmptypes 0,3,4,8,11,12 via ${oif}
${fw} add allow ip from not ${lan} to me dst-port 22 via ${oif}
${fw} add allow icmp from any to any icmptypes 0,3,4,8,11,12

#Бережёмся от непонятных адресов
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
${fw} add deny ip from any to 10.0.0.0/8 in via ${oif}
${fw} add deny ip from any to 172.16.0.0/12 in via ${oif}
${fw} add deny ip from any to 0.0.0.0/8 in via ${oif}
${fw} add deny ip from any to 169.254.0.0/16 in via ${oif}
${fw} add deny ip from any to 240.0.0.0/4 in via ${oif}
${fw} add deny ip from any to 10.0.0.0/8 out via ${oif}
${fw} add deny ip from any to 172.16.0.0/12 out via ${oif}
${fw} add deny ip from any to 0.0.0.0/8 out via ${oif}
${fw} add deny ip from any to 169.254.0.0/16 out via ${oif}
${fw} add deny ip from any to 240.0.0.0/4 out via ${oif}

${fw} add allow ip from ${lan} to ${lan} via ${iif}


#Razreshaem dostup iz localnoy seti himmash na game.chirkom.uz (84.54.74.150) i nod32.chirkom.uz(84.54.74.227)
${fw} add allow ip from ${lan} to 84.54.74.150, 84.54.74.227 via ${iif}

${fw} add allow ip from ${lan} to 192.168.0.0/24 via ${iif}
${fw} add allow ip from ${lan} to 192.168.20.0/24 via ${iif}

#Доступ к банку-клиенту
${fw} add allow ip from ${pl} to 217.29.118.22,81.95.227.98,77.220.195.38,94.141.69.218,213.206.33.214 via ${iif}

#Доступ к майл агенту, будь он неладен
${fw} add allow ip from "table(1)" to 217.69.129.211 via ${iif}

#Без лимитный доступ к интернет, для избранных.
${fw} add allow ip from "table(2)" to any via ${iif}

#==NAT==
${fw} nat 2  config  if ${oif} reset same_ports deny_in
${fw} add nat 2 ip from any to any via ${oif}

#==Warcraft==
${fw} add allow tcp from any to any established
${fw} add allow ip from ${oip} to any out xmit ${oif}
#==DNS==

${fw} add allow udp from any to any 53
${fw} add allow udp from any 53 to any

${fw} add allow icmp from any to any icmptype 0,3,4,8,11,12

${fw} add allow log tcp from ${lan} to any 5190,25,2041 in via ${iif} setup


#==80 port out==
${fw} add deny log ip from any to any

[Charlz_Klug@Meleena ~]$

Использую не прозрачный squid.

Спасбо попробую ещё бы комментов побольше ну да ладно)))пошёл гармошку жать

[VANO2006OE]

Так ладно продолжим.......мой вопрос вот создаю я туннель диверт компилированный в ядро раздаёт это куда???на сетевуху локалки прова или же на все сетевухи фряхи????и пакеты в впн идут все??? можно ли закрыть всё на локалку прова, и пропустить это на свою локалку куда ставить правила я в поиске)))жду ответа спецов)))