Настройка ipfw nat

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-20 15:25:00

Посмотрет у вас, cтатьи по FreeBSD и не обнаружил ipfw firewall.
Просто в нете очень много описание старого происхождения, и голова кружиться все по разному описывают загркзку в rc.conf :

Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"


Вот так загружаеться :

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall"
Правила firewall :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh 
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state 

# запретить остальное
add deny log ip from any to any
Проблема в том что 53 порт всеравно закрыт :

http://www.intodns.com/gipernet.eu

Код: Выделить всё

# netstat -an | grep 53
tcp6       0      0 ::1.953                *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 192.168.1.9.53         *.*                    LISTEN
tcp4       0      0 192.168.1.4.53         *.*                    LISTEN
udp4       0      0 127.0.0.1.53           *.*
udp4       0      0 192.168.1.9.53         *.*
udp4       0      0 192.168.1.4.53         *.*
В чем может быть причина ??

И немогу понять с natd rc.conf :

Код: Выделить всё

natd_enable="YES"
natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

Starting natd.
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: cannot open config file /etc/natd.conf: No such file or directory
/etc/rc.d/natd: WARNING: failed to start natd
Чего необходимо сделать чтоб он зароботал ???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Настройка ipfw nat

Непрочитанное сообщение terminus » 2011-01-20 16:51:01

Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.
Это делается через rc.conf. и есть два пути:

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall"
или

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall.sh"
в первом случае используется простой текстовый файл, а во втором можно использовать свой скрипт где могут быть всякие переменные. Первый вариант проще, второй гибче.

То, что вы приводили

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"
так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.
Проблема в том что 53 порт всеравно закрыт :
у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?

Код: Выделить всё

add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state
разрешен доступ только от 192.168.1.0/24 - это так и надо?
И немогу понять с natd rc.conf
Чего необходимо сделать чтоб он зароботал ???
Зачем использовать nat.d если есть kernel nat? Зачем вообще вам нужен нат на этой системе?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-20 17:14:17

так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"
Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?
у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?
Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.
разрешен доступ только от 192.168.1.0/24 - это так и надо?
Это я делаю для своей локальной сети, что вас смутило ?
Зачем использовать nat.d если есть kernel nat?
Ну если kernel nat имееться будем пробывать его.
Зачем вообще вам нужен нат на этой системе?
Это тестовая система, для дальнейшей работы, пока освоить необходимо.

Ну 53 порт так и не выходит даже если в переди поставить firewall ставлю :

Код: Выделить всё

ipfw add check-state

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Настройка ipfw nat

Непрочитанное сообщение terminus » 2011-01-20 17:27:24

Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?
Для нат и даминета не существено.

Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.
разрешен доступ только от 192.168.1.0/24 - это так и надо?
Это я делаю для своей локальной сети, что вас смутило ?
Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.

Так надо

Код: Выделить всё

add allow tcp from any to me 53 
add allow udp from any to me 53 
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение ADRE » 2011-01-20 17:31:39

используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
//del

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-20 18:44:11

Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.

Так надо

Код: Выделить всё

    add allow tcp from any to me 53 
    add allow udp from any to me 53 
Да это помогло, 53 открылся. Но хотелось бы по интересоваться это же мощный ваерфол, и получаеться если у меня будет стоять в одной локалке dns и майл сервер, мониторингб итд. То портик будет считаться открыт для всех машин, что очень бы не хотелось. Как реализовать такую задачу ?
Пример :
  • 192.168.1.5 маршрутизатор
  • 192.168.1.10 dns только 53 и 22
  • 192.168.1.20 Apache 80 22
  • 192.168.1.30 Mail 25 110 143
Что ти по такого ??

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-20 18:48:44

используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
Попробывал по вашему методу не помогло :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

add check-state

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state

# запретить остальное
add deny log ip from any to any
Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение ADRE » 2011-01-21 4:33:01

klaster писал(а):
используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
Попробывал по вашему методу не помогло :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

add check-state

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state

# запретить остальное
add deny log ip from any to any
Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???
add deny log ip from any to any - у вас же написано куда вставлять =) после правила, разрешающего или запрещающего
//del

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-21 14:37:05

add deny log ip from any to any - у вас же написано куда вставлять =) после правила, разрешающего или запрещающего
sysloc.conf :

Код: Выделить всё

security.*                                      /var/log/security

ee /var/log/security :

Код: Выделить всё

Jan  2 17:38:34 ol newsyslog[478]: logfile first created
Написано но я не могу найти куда он пишит эти логи ???

Аватара пользователя
Extremist
рядовой
Сообщения: 25
Зарегистрирован: 2009-12-24 17:29:40

Re: Настройка ipfw nat

Непрочитанное сообщение Extremist » 2011-01-21 22:26:35

А пишет он в /var/log/security

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-21 22:31:55

Когда компиляцию ядра выполняещь тогда пишет, а вот когда только в rc.conf прописываешь, можно забыть.
Не забывайте добавить :

Код: Выделить всё

options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-21 22:50:44

Люди добрые подскажите как работать в firewall ipfw, в rc.firewall или в своем созданном файле ?

Гибкость и эфективность, я знаю еще и в rc.conf можно писать правила, какой лучший вариант ?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Настройка ipfw nat

Непрочитанное сообщение vadim64 » 2011-01-25 11:23:57

Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-27 3:02:07

Люди добрые помогите разобраться !!!
Необходимо сделать сервер роутер. Имееться две сетевы карты :
  • Net = 86.86.86.86
    Lan = 192.168.1.2
Не могу понять как сделать так чтоб из Lan выходили в сеть.

Пример :

rc.conf :

Код: Выделить всё

net = 86.86.86.86 255.255.254.0  
lan = 192.168.1.2 255.255.255.0
необходимо выйти в сеть

192.168.1.3

Как реализовать такое ?
Замучился уже с этими правилами.

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Настройка ipfw nat

Непрочитанное сообщение vadim64 » 2011-01-27 8:34:35

ну вы конкретики добавьте, покажите выводы команд

Код: Выделить всё

uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Kesha
проходил мимо

Re: Настройка ipfw nat

Непрочитанное сообщение Kesha » 2011-01-27 16:34:35

klaster писал(а):И немогу понять с natd rc.conf :

Код: Выделить всё

natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.
Чего необходимо сделать чтоб он зароботал ???
тут написано:
Эта шлюзовая машина должна иметь два сетевых адаптера--один для подключения к маршрутизатору Интернет, а другой для подключения к ЛВС.
http://www.freebsd.org/doc/ru_RU.KOI8-R ... -natd.html

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение neurobomman » 2011-01-27 18:22:08

а товарищ не троллит нас случайно?чет вопросы до абсурда глупы
атсыпте man'офф.только их курю

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Настройка ipfw nat

Непрочитанное сообщение vadim64 » 2011-01-27 22:35:22

neurobomman писал(а):а товарищ не троллит нас случайно?чет вопросы до абсурда глупы
вам должно быть стыдно за такие посты! нельзя так говорить человеку, который занимается неблагодарным(первые месяцы) дело изучения фряхи
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение neurobomman » 2011-01-28 17:45:43

извините, но можно было бы и хэндбук почитать. а про то что в статьях нету про ipfw вообще врака
атсыпте man'офф.только их курю

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Настройка ipfw nat

Непрочитанное сообщение vadim64 » 2011-01-28 21:39:29

а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение neurobomman » 2011-01-29 0:57:24

+1
атсыпте man'офф.только их курю

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение ADRE » 2011-01-29 12:23:41

vadim64 писал(а):а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?
ага, а в чём разница? или травой делитесь...
//del

Аватара пользователя
klaster
мл. сержант
Сообщения: 102
Зарегистрирован: 2011-01-05 13:35:18

Re: Настройка ipfw nat

Непрочитанное сообщение klaster » 2011-01-29 15:01:56

ну вы конкретики добавьте, покажите выводы команд

Код: Выделить всё

uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show
Очень извиняюсь, что долго не отвечал.
Попробую разъеснить проблему :
  • 1) Провайдер привязывает Ip по мак адрессам
    2) Имееться две сетевухи одна внешняя, другая внутриняя.
    3) Выхожу в интернет через внешнию нормально.
    4) Через внутринию не как немогу сделать проброс на локальную сеть.
    Пример :
    a) Внешний адресс 89.89.89.89
    б) Внутренийй адресс 192.168.1.3 выходит из сетевухи в свичь.
    г) Машина Win XP c адрессом 192.168.1.4, подключена через свичь, в который приходит 192.168.1.3.
    Проблема в том как бы я не сторался выход в нет Win Xp не получает. как решить такую проблему ?
uname -a

Код: Выделить всё

FreeBSD gipernet 8.1-RELEASE-p2 FreeBSD 8.1-RELEASE-p2
cat -n /etc/rc.conf

Код: Выделить всё

ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl0_alias0="xx.xx.xx.101 netmask 255.255.254.0" // Ип адрес провайдера и его маска.
defaultrouter="xx.xx.xx.1" // Ip  адресс, роутер провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES" 
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"
kld_stat

Код: Выделить всё

kld_stat: Command not found.
ipfw show

Код: Выделить всё

00100  16   960 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400   0     0 deny ip from any to ::1
00500   0     0 deny ip from ::1 to any
00600   0     0 allow tcp from me to any keep-state
00700 549 63177 allow udp from me to any keep-state
00800   7   448 allow icmp from me to any keep-state
00900   0     0 allow tcp from 192.168.1.0/24 to me dst-port 80,443 keep-state
01000 302 33432 allow tcp from 192.168.1.0/24 to me dst-port 22 keep-state
01100   0     0 allow tcp from any to me dst-port 53
01200   5   340 allow udp from any to me dst-port 53
01300   0     0 allow tcp from any to me dst-port 25
01400   0     0 allow tcp from any to me dst-port 110
01500   0     0 allow tcp from any to me dst-port 143
01600 312 33442 deny log logamount 50 ip from any to any
65535   0     0 allow ip from any to any
Помогите разобраться !!!

Kesha
проходил мимо

Re: Настройка ipfw nat

Непрочитанное сообщение Kesha » 2011-01-29 17:59:45

klaster писал(а):

Код: Выделить всё

ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES" 
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"
Помогите разобраться !!!
в rc.conf подмена мака не катит.

пишем в /etc/rc.d/NETWORKING в одну строчку:

Код: Выделить всё

ifconfig <драйвер сет.интер-са mac которого надо поменять> ether ха:ха:ха:ха:ха:ха
после рестарта этой службы, /etc/rc.d/NETWORKING restart, будет новый mac.
а где маскарадинг? без него не заработает.
Я кинул вам пруф - там всё хорошо разжёвано. Внимательно читайте.

Как минимум в rc.conf:

Код: Выделить всё

#NAT
gateway_enable="YES"
firewall_enable="YES"
firewall_script="< путь к нему с его именем>"
natd_enable="YES"
natd_interface="age0"
или

Код: Выделить всё

firewall_type="open"; "client"; "simple"
выбирете тип ipfw который вам подходит или напишите свой скрипт.
/etc/firewall.conf - нет такого файла или каталога :-D
если это скрипт - то так и пишите, как я написал.

в rc.conf не забудьте прописать внутреннею сетевуху.

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Настройка ipfw nat

Непрочитанное сообщение ADRE » 2011-01-29 19:21:05

катит, алиасом. на 9 правдо что-то не заработало. но на 7,6 работало...
//del