Как заблокировать трафик между локальными подсетями IPWF .

[YSL]

Помогите, долго мучаюсь а ничего не получается, как правильно заблокировать трафик между локальными подсетями средствами IPWА , есть сетевая bge0 192.168.1.100/24 (инет), и сетевая rl0 10.10.10.1/24 , нужно чтобы из сети 10.10.10.1/24 не видели сеть 192.168.1.1/24 а инет работал.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[BirdGovorun]

Помогите, долго мучаюсь а ничего не получается, как правильно заблокировать трафик между локальными подсетями средствами IPWА , есть сетевая bge0 192.168.1.100/24 (инет), и сетевая rl0 10.10.10.1/24 , нужно чтобы из сети 10.10.10.1/24 не видели сеть 192.168.1.1/24 а инет работал.

Код: Выделить всё

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0

[YSL]

А куда его оно добавило в /etc/rc.firewall записи нет ? Перегружать нужно сервак после добавления правила ?

[YSL]

Как известно после перезагрузки системы правила в ipfw сбрасываются
Поэтому необходимо эти самые правила где-то хранить, что бы при загрузке системы происходила настройка фаервола
Это достигается следующими вариантами

1)Используя /etc/rc.conf и /etc/ipfw.rules - метод №1
1.1) В /etc/rc.conf пишем:
firewall_enable="YES"
firewall_type="/etc/ipfw.rules"
1.2) Создаём /etc/ipfw.rules:
# ee /etc/ipfw.rules
1.3) Вписываем в /etc/ipfw.rules нужные нам правила:
1.4) Перезагружаемся.
Замечание: прописывать в /etc/rc.conf строку firewall_enable="YES" - ОБЯЗАТЕЛЬНО, даже если ядро собиралось с поддежкой IPFW.

Так сделать ?

[BirdGovorun]

Не, ну вы блин даёте!
Спрашиваете как закрыть, а у вас и фаервол-то не включен.
В /etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/ipfw.rules" 

/etc/ipfw.rules

Код: Выделить всё

#!/bin/sh

ipfw -qf flush

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
ipfw add 1200 pass all from any  to any

Это вам для примера.

[YSL]

Cпасибо все работает )) еще по поводу номеров 1000 или 1100 это все произвольно или есть последовательность ?

[rayder]

раз,два

еще дать?

[YSL]

раз,два

еще дать?

Уважаемый форумы такого типа создаются чтобы новичок задал вопрос и ему дали четкий ответ а не посылали читать мануал мне это не нужно я создал правило и забыл на года сервак.

[rayder]

правда? а статьи тогда для чего написаны? что бы вы их не читали?

[YSL]

После перезапуска сервака инета в подсети 10.10.10.1/24 инета нет, делаю

Код: Выделить всё

/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
01000 deny ip from 192.168.1.0/24 to any via rl0
01100 deny ip from 10.10.10.0/24 to any via bge0
01200 allow ip from any to any
Firewall rules loaded.

и инет появляется в чем проблема ?

[rayder]

что в логах при загрузке по поводу ipfw говорится?

[rayder]

и да, пропишите в скрипте полный путь к ipfw
по типу:

Код: Выделить всё

#!/bin/sh
ipfw="/sbin/ipfw"
${ipfw} add 1000 deny all from 192.168.1.0/24 to any via rl0
${ipfw} add 1100 deny  all from 10.10.10.0/24 to any via bge0

[YSL]

Вот что у меня
ee /etc/ipfw.rules

Код: Выделить всё

#!/bin/sh
ipfw -qf flush
ipfw="/sbin/ipfw"

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
ipfw add 1200 pass all from any  to any

И все равно после перезагрузки не работает инет на 10.10.10.0/24 только после /etc/rc.d/ipfw restart

[rayder]

ipfw - это комманда
${ipfw} - это переменная указывающая где именно находится ipfw (/sbin/ipfw),
вы объявили переменную, но нигде ее не используете.

при старте системы она скорее всего не знает где у вас находится ipfw.
а при запуске вручную она уже ищет его в вашем $PATH

ну либо пишите в скрипте

Код: Выделить всё

/sbin/ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
/sbin/ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
...

ЗЫ. я же специально указал ${ipfw} а не ipfw

[rayder]

кстати что пишет в логах, вы так и не указали

[YSL]

Что писать как проверить ))

[rayder]

ну учить вас читать логи, я уж точно не буду.

[YSL]

Только это есть в
/var/log/messages

Код: Выделить всё

Aug 28 17:20:03 router kernel: ipfw2 initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to deny, logging disabled

[BirdGovorun]

Только это есть в
/var/log/messages

Код: Выделить всё

Aug 28 17:20:03 router kernel: ipfw2 initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to deny, logging disabled

Значит правила не сработали.
После перезагрузки посмотреть ipfw show, чего покажет.
Поробуйте скрипт сделать исполняемым.

[YSL]

1

[rayder]

да он даже пути до сих пор к ipfw не дописал...

Код: Выделить всё

1

ну очень информативное сообщение.

в числе 42 - хотя бы смысл есть.

[YSL]

После перезагрузки инета таки нет на 10.10.10.0/24

Код: Выделить всё

# ipfw show
01000      0        0 deny ip from 192.168.1.0/24 to any via rl0
01100  91981  8058408 deny ip from 10.10.10.0/24 to any via bge0
01200 106074 10551300 allow ip from any to any
05000      0        0 deny ip from not table(0) to any
05001      0        0 skipto 5010 ip from table(127) to table(126)
05002      0        0 skipto 5030 ip from any to not table(2)
05003      0        0 deny ip from any to not table(1)
05004      0        0 pipe tablearg ip from table(21) to any
05005      0        0 deny ip from any to any
05010      0        0 pipe tablearg ip from table(127) to any
05030      0        0 deny tcp from table(15) to any dst-port 25
05400      0        0 pipe tablearg ip from table(11) to any
32000      0        0 deny ip from any to any
33000      0        0 pipe tablearg ip from table(126) to table(127)
33001      0        0 skipto 33010 ip from not table(2) to any
33002      0        0 pipe tablearg ip from any to table(20)
33003      0        0 deny ip from any to any
33400      0        0 pipe tablearg ip from any to table(10)
65535      0        0 deny ip from any to any

Потом запускаю /etc/rc.d/ipfw restart

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
01000 deny ip from 192.168.1.0/24 to any via rl0
01100 deny ip from 10.10.10.0/24 to any via bge0
01200 allow ip from any to any
Firewall rules loaded.

Код: Выделить всё

# ipfw show
01000  1758  204781 deny ip from 192.168.1.0/24 to any via rl0
01100     0       0 deny ip from 10.10.10.0/24 to any via bge0
01200 20694 5314911 allow ip from any to any
65535     0       0 deny ip from any to any

инет появляется

[BirdGovorun]

Вам сервак в наследство достался?
Вам добавить надо в существующие правила, а не городить новые, если они нужны.

[YSL]

Типа да в наследство )))
Ну так куда добавить это я уже целый вечер спрашиваю какой файл править ???

[YSL]

Насколько я понял правила firewall лежат здесь
ee /etc/rc.firewall

Код: Выделить всё

# ipfw show
00001 1454  211989 allow ip from any to me
00050    0       0 allow tcp from any to me dst-port 22
00051   38    6920 allow tcp from me 22 to any
00110    0       0 allow ip from any to any via lo0
00120  571   50822 skipto 1000 ip from me to any
00130  417   58391 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160    0       0 skipto 2000 ip from any to me
00200 8461 5491665 skipto 500 ip from any to any via bge0
00300 4597  648600 skipto 4500 ip from any to any in
00400 4549 4887375 skipto 450 ip from any to any recv bge0
00420    0       0 divert 1 ip from any to any
00450 4549 4887375 divert 2 ip from any to any
00490 4549 4887375 allow ip from any to any
00500 4568 4900193 skipto 32500 ip from any to any in
00510 3893  591472 divert 1 ip from any to any
00540 3839  587050 allow ip from any to any
01000  107   21380 allow udp from any 53,7723 to any
01010    0       0 allow tcp from any to any setup keep-state
01020  120    8974 allow udp from any to any keep-state
01030  344   20468 allow ip from any to any
02000    0       0 check-state
02010    0       0 allow icmp from any to any
02020    0       0 allow tcp from any to any dst-port 80,443
02050    0       0 deny ip from any to any via bge0
02060    0       0 allow udp from any to any dst-port 53,7723
02100    0       0 deny ip from any to any
05000    0       0 deny ip from not table(0) to any
05001    0       0 skipto 5010 ip from table(127) to table(126)
05002 3592  388128 skipto 5030 ip from any to not table(2)
05003    0       0 deny ip from any to not table(1)
05004    0       0 pipe tablearg ip from table(21) to any
05005    0       0 deny ip from any to any
05010    0       0 pipe tablearg ip from table(127) to any
05030    0       0 deny tcp from table(15) to any dst-port 25
05400 3197  357297 pipe tablearg ip from table(11) to any
32000  395   30831 deny ip from any to any
32490  231   19479 deny ip from any to any
33000    0       0 pipe tablearg ip from table(126) to table(127)
33001 3896 4087643 skipto 33010 ip from not table(2) to any
33002    0       0 pipe tablearg ip from any to table(20)
33003    0       0 deny ip from any to any
33400 3884 4083853 pipe tablearg ip from any to table(10)
65535   19   12818 deny ip from any to any

как правильно добавить это

Код: Выделить всё

add 1000 deny all from 192.168.1.0/24 to any via rl0
add 1000 deny all from 10.0.0.0/24 to any via rl0
add 1100 deny  all from 10.10.10.0/24 to any via bge0
add 1200 pass all from any  to any

Чтобы оно работало ???