Настройка ipfw nat

[klaster]

Посмотрет у вас, cтатьи по FreeBSD и не обнаружил ipfw firewall.
Просто в нете очень много описание старого происхождения, и голова кружиться все по разному описывают загркзку в rc.conf :

Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"

Вот так загружаеться :

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall"

Правила firewall :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh 
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state 

# запретить остальное
add deny log ip from any to any

Проблема в том что 53 порт всеравно закрыт :

http://www.intodns.com/gipernet.eu

Код: Выделить всё

# netstat -an | grep 53
tcp6       0      0 ::1.953                *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 192.168.1.9.53         *.*                    LISTEN
tcp4       0      0 192.168.1.4.53         *.*                    LISTEN
udp4       0      0 127.0.0.1.53           *.*
udp4       0      0 192.168.1.9.53         *.*
udp4       0      0 192.168.1.4.53         *.*

В чем может быть причина ??

И немогу понять с natd rc.conf :

Код: Выделить всё

natd_enable="YES"
natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

Starting natd.
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: cannot open config file /etc/natd.conf: No such file or directory
/etc/rc.d/natd: WARNING: failed to start natd

Чего необходимо сделать чтоб он зароботал ???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.

Это делается через rc.conf. и есть два пути:

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall"

или

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall.sh"

в первом случае используется простой текстовый файл, а во втором можно использовать свой скрипт где могут быть всякие переменные. Первый вариант проще, второй гибче.

То, что вы приводили

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"

так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.

Проблема в том что 53 порт всеравно закрыт :

у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?

Код: Выделить всё

add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state

разрешен доступ только от 192.168.1.0/24 - это так и надо?

И немогу понять с natd rc.conf
Чего необходимо сделать чтоб он зароботал ???

Зачем использовать nat.d если есть kernel nat? Зачем вообще вам нужен нат на этой системе?

[klaster]

так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.

Код: Выделить всё

firewall_nat_enable="YES"
dummynet_enable="YES"

Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?

у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?

Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.

разрешен доступ только от 192.168.1.0/24 - это так и надо?

Это я делаю для своей локальной сети, что вас смутило ?

Зачем использовать nat.d если есть kernel nat?

Ну если kernel nat имееться будем пробывать его.

Зачем вообще вам нужен нат на этой системе?

Это тестовая система, для дальнейшей работы, пока освоить необходимо.

Ну 53 порт так и не выходит даже если в переди поставить firewall ставлю :

Код: Выделить всё

ipfw add check-state

[terminus]

Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?

Для нат и даминета не существено.

Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.

разрешен доступ только от 192.168.1.0/24 - это так и надо?

Это я делаю для своей локальной сети, что вас смутило ?

Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.

Так надо

Код: Выделить всё

add allow tcp from any to me 53 
add allow udp from any to me 53 

[ADRE]

используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.

[klaster]

Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.

Так надо

Код: Выделить всё

    add allow tcp from any to me 53 
    add allow udp from any to me 53 

Да это помогло, 53 открылся. Но хотелось бы по интересоваться это же мощный ваерфол, и получаеться если у меня будет стоять в одной локалке dns и майл сервер, мониторингб итд. То портик будет считаться открыт для всех машин, что очень бы не хотелось. Как реализовать такую задачу ?
Пример :

• 192.168.1.5 маршрутизатор

• 192.168.1.10 dns только 53 и 22

• 192.168.1.20 Apache 80 22

• 192.168.1.30 Mail 25 110 143

Что ти по такого ??

[klaster]

используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.

Попробывал по вашему методу не помогло :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

add check-state

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state

# запретить остальное
add deny log ip from any to any

Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???

[ADRE]

используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.

Попробывал по вашему методу не помогло :

Код: Выделить всё

# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0

add check-state

# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state

# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state

# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state

# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state

# запретить остальное
add deny log ip from any to any

Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???

add deny log ip from any to any - у вас же написано куда вставлять после правила, разрешающего или запрещающего

[klaster]

add deny log ip from any to any - у вас же написано куда вставлять после правила, разрешающего или запрещающего

sysloc.conf :

Код: Выделить всё

security.*                                      /var/log/security

ee /var/log/security :

Код: Выделить всё

Jan  2 17:38:34 ol newsyslog[478]: logfile first created

Написано но я не могу найти куда он пишит эти логи ???

[Extremist]

А пишет он в /var/log/security

[klaster]

Когда компиляцию ядра выполняещь тогда пишет, а вот когда только в rc.conf прописываешь, можно забыть.
Не забывайте добавить :

Код: Выделить всё

options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50

[klaster]

Люди добрые подскажите как работать в firewall ipfw, в rc.firewall или в своем созданном файле ?

Гибкость и эфективность, я знаю еще и в rc.conf можно писать правила, какой лучший вариант ?

[vadim64]

Настройка IPFW

[klaster]

Люди добрые помогите разобраться !!!
Необходимо сделать сервер роутер. Имееться две сетевы карты :

• Net = 86.86.86.86
  Lan = 192.168.1.2

Не могу понять как сделать так чтоб из Lan выходили в сеть.

Пример :

rc.conf :

Код: Выделить всё

net = 86.86.86.86 255.255.254.0  
lan = 192.168.1.2 255.255.255.0

необходимо выйти в сеть

192.168.1.3

Как реализовать такое ?
Замучился уже с этими правилами.

[vadim64]

ну вы конкретики добавьте, покажите выводы команд

Код: Выделить всё

uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show

[Kesha]

И немогу понять с natd rc.conf :

Код: Выделить всё

natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.

Чего необходимо сделать чтоб он зароботал ???

тут написано:

Эта шлюзовая машина должна иметь два сетевых адаптера--один для подключения к маршрутизатору Интернет, а другой для подключения к ЛВС.

http://www.freebsd.org/doc/ru_RU.KOI8-R ... -natd.html

[neurobomman]

а товарищ не троллит нас случайно?чет вопросы до абсурда глупы

[vadim64]

а товарищ не троллит нас случайно?чет вопросы до абсурда глупы

вам должно быть стыдно за такие посты! нельзя так говорить человеку, который занимается неблагодарным(первые месяцы) дело изучения фряхи

[neurobomman]

извините, но можно было бы и хэндбук почитать. а про то что в статьях нету про ipfw вообще врака

[vadim64]

а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?

[neurobomman]

+1

[ADRE]

а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?

ага, а в чём разница? или травой делитесь...

[klaster]

ну вы конкретики добавьте, покажите выводы команд

Код: Выделить всё

uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show

Очень извиняюсь, что долго не отвечал.
Попробую разъеснить проблему :

• 1) Провайдер привязывает Ip по мак адрессам
  2) Имееться две сетевухи одна внешняя, другая внутриняя.
  3) Выхожу в интернет через внешнию нормально.
  4) Через внутринию не как немогу сделать проброс на локальную сеть.
  Пример :
  a) Внешний адресс 89.89.89.89
  б) Внутренийй адресс 192.168.1.3 выходит из сетевухи в свичь.
  г) Машина Win XP c адрессом 192.168.1.4, подключена через свичь, в который приходит 192.168.1.3.
  Проблема в том как бы я не сторался выход в нет Win Xp не получает. как решить такую проблему ?

uname -a

Код: Выделить всё

FreeBSD gipernet 8.1-RELEASE-p2 FreeBSD 8.1-RELEASE-p2

cat -n /etc/rc.conf

Код: Выделить всё

ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl0_alias0="xx.xx.xx.101 netmask 255.255.254.0" // Ип адрес провайдера и его маска.
defaultrouter="xx.xx.xx.1" // Ip  адресс, роутер провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES" 
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"

kld_stat

Код: Выделить всё

kld_stat: Command not found.

ipfw show

Код: Выделить всё

00100  16   960 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400   0     0 deny ip from any to ::1
00500   0     0 deny ip from ::1 to any
00600   0     0 allow tcp from me to any keep-state
00700 549 63177 allow udp from me to any keep-state
00800   7   448 allow icmp from me to any keep-state
00900   0     0 allow tcp from 192.168.1.0/24 to me dst-port 80,443 keep-state
01000 302 33432 allow tcp from 192.168.1.0/24 to me dst-port 22 keep-state
01100   0     0 allow tcp from any to me dst-port 53
01200   5   340 allow udp from any to me dst-port 53
01300   0     0 allow tcp from any to me dst-port 25
01400   0     0 allow tcp from any to me dst-port 110
01500   0     0 allow tcp from any to me dst-port 143
01600 312 33442 deny log logamount 50 ip from any to any
65535   0     0 allow ip from any to any

Помогите разобраться !!!

[Kesha]

Код: Выделить всё

ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES" 
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"

Помогите разобраться !!!

в rc.conf подмена мака не катит.

пишем в /etc/rc.d/NETWORKING в одну строчку:

Код: Выделить всё

ifconfig <драйвер сет.интер-са mac которого надо поменять> ether ха:ха:ха:ха:ха:ха

после рестарта этой службы, /etc/rc.d/NETWORKING restart, будет новый mac.
а где маскарадинг? без него не заработает.
Я кинул вам пруф - там всё хорошо разжёвано. Внимательно читайте.

Как минимум в rc.conf:

Код: Выделить всё

#NAT
gateway_enable="YES"
firewall_enable="YES"
firewall_script="< путь к нему с его именем>"
natd_enable="YES"
natd_interface="age0"

или

Код: Выделить всё

firewall_type="open"; "client"; "simple"

выбирете тип ipfw который вам подходит или напишите свой скрипт.
/etc/firewall.conf - нет такого файла или каталога
если это скрипт - то так и пишите, как я написал.

в rc.conf не забудьте прописать внутреннею сетевуху.

[ADRE]

катит, алиасом. на 9 правдо что-то не заработало. но на 7,6 работало...