настройка ipfw

[mifey]

Привет всем, я в этом деле новичек, так что сильно не ругайте)))
Есть роутер, с него вряха берет и раздает инет.
На фряхе конфиг фаервола:

Код: Выделить всё

#!/bin/sh
#Lan local
LanLocal=192.168.1.0/24
IPLocal=192.168.1.240
IFLocal=rl1
#Lan inet
LanInet=192.168.0.0/24
IPInet=192.168.0.240
IFInet=rl0
InetNat=192.168.1.1,192.168.1.7
InetMy=192.168.1.100,192.168.1.250
#erase all
ipfw -f flush
ipfw -f pipe flush
#pipe speed
ipfw pipe 1 config bw 0Kbit/s
ipfw pipe 2 config bw 16Kbit/s
ipfw pipe 3 config bw 32Kbit/s
ipfw pipe 4 config bw 64Kbit/s
ipfw pipe 5 config bw 128Kbit/s
ipfw pipe 6 config bw 256Kbit/s
ipfw pipe 7 config bw 512Kbit/s
ipfw pipe 8 config bw 1Mbit/s
ipfw pipe 9 config bw 2Mbit/s
ipfw pipe 10 config bw 4Mbit/s
ipfw pipe 11 config bw 8Mbit/s
ipfw pipe 12 config bw 16Mbit/s
ipfw pipe 13 config bw 32Mbit/s
#lo0
ipfw add 00101 allow ip from any to any via lo0
ipfw add 00102 deny ip from any to 127.0.0.0/8
ipfw add 00103 deny ip from 127.0.0.0/8 to any
#inet in
ipfw add 01000 pipe 7 ip from any to ${InetNat} out via ${IFLocal}
#inet out
ipfw add 02000 pipe 5 ip from ${InetNat} to any in via ${IFLocal}                                                     
#nat in                                                                                                               
ipfw add 03000 divert natd ip from ${InetNat},${InetMy} to any out via ${IFInet}                                                
#nat out                                                                                                              
ipfw add 03999 divert natd ip from any to ${IPInet} in via ${IFInet}

Теперь возникла задача пробрасывать порты с инета на некоторые машины, чтоб не делать двойной проброс(с роутера на фряху, с фряхи на машины) появилапсь идея - прокинуть все на фряху(у роутера есть функция такая, все прокидывать на определенную машину.)
Так можно будет только во фряхе указать порт и машину, на которую нужно опробросить.

Но, раньше роутер выполнял фун-цию фаервола, а если все прокинуть - вряха станет открыта.
Фряха раздает инет(кому надо режет скорость, остальным не дает)+DNS+DHCP.
Получается для внутренней сети можно все разрешить, а для внешней все запретить.
Что нужно дописать, чтоб все работало и было безопасно?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mifey]

думаю что-то типа такого:

Код: Выделить всё

ipfw add deny ip from ${LanInet} to any in via ${IFInet}

это как я понимаю: запретить входящие от внешней сети к любой через внешний интерфейс.

[vadim64]

1. что за роутер?
2. опции ядра?
3.

Код: Выделить всё

uname -a
dmesg -a
ifconfig -a
netstat -r

[mifey]

1. что за роутер?
2. опции ядра?
3.

Код: Выделить всё

uname -a
dmesg -a
ifconfig -a
netstat -r

фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.

[vadim64]

роутер можно убрать?

[snorlov]

фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.

У вас масло масляное получилось, я бы d-link в режим моста, а фрю в качестве nat'а и файера, тогда все будет и проще и на мой взгляд надежнее, тем более у вас модем наверное как nat и работает...

[mifey]

фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.

У вас масло масляное получилось, я бы d-link в режим моста, а фрю в качестве nat'а и файера, тогда все будет и проще и на мой взгляд надежнее, тем более у вас модем наверное как nat и работает...

Роутер втроенным фаерволом и натом. Сам конектится и раздает инет. Фаер там хороший, просто чтоб в случае проброса какого-либо порта, нужно с него сначала на фряху порт кинуть, потом с фряхи уже на локальную машину.
Вот и хочу сразу бросить все запросы на фряху(есть такая фун-ция в роутере), но для этого сначала нужно нормально сделать фаер на фряхе.
Вот и спрашиваю, как все закрыть в данном конфиге, чтоб можно было не бояться атак с нета.
Потом уже нужно будет открыть 25-ый порт для почты, 80-ый для сайта, парочку для sshк разным машинам - это я уже сделаю.
Просто когда я добавил

Код: Выделить всё

ipfw add deny ip from ${LanInet} to any in via ${IFInet}

Инет пропал даже на фряхе, но понял, что я вообще запретил весь вход, что инет даже зайти не может.

[vadim64]

оно, роутер ваш, умеет мост. вот и ставьте его мостом а из фряхи делайте роутер нормальный. вам прваильно говорят. а у вас там что то "исторически сложилось" и вы заморачиваетесь

[mifey]

оно, роутер ваш, умеет мост. вот и ставьте его мостом а из фряхи делайте роутер нормальный. вам прваильно говорят. а у вас там что то "исторически сложилось" и вы заморачиваетесь

Хорошо, делаю мост на фряху, вот как вряху защитить?
Что дописать в правило фаервола для безопасности?

[snorlov]

А что вы имеете в виду под словом файер... Модем в режиме роутера на внешнем интерфейсе обычно имеет для управления web(80 порт) и ssh (22 порт), и больше ничего, и то и другое здравомыслящие люди обычно отключают, оставляя управление модемом изнутри, единственное, что модемный файер делает это NAT и проброс портов снаружи вовнутрь, спрашивается, что защищает файер в модеме на внешнем интерфейсе... Сравните это со своей фряхой и различий практически не увидите. Более того, если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...

[vadim64]

если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...

ну конечно же! вариантов тут два: или модем в бридж или выкинуть фряху. но как то логичнее же фряху оставить

[mifey]

если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...

У модема нет фун-ции резать скорость и давать интернет заданным компьютерам. Для этого подняли на фряхе шейпер.

Модем в режиме роутера на внешнем интерфейсе обычно имеет для управления web(80 порт) и ssh (22 порт), и больше ничего, и то и другое здравомыслящие люди обычно отключают, оставляя управление модемом изнутри

Модем снаружи вообще закрыт полностью.

Пробрасывает нужные порты на фряху, которая уже их пробрасывает на нужные компы.

Так вот, чтоб для проброса нужного порта не делать двойные движения(сначала с модема пробросить на фряху, потом с фряхи на машину) можно включить мост - кинуть все с модема на фряху. И уже нужные - пробрасывать, но для этого нужно настроить безопасность на фре, так как она тогда будет открыта для инета.

Вот и спрашиваю: в данный конфиг чего нужно дописать, чтоб закрыть все с внешнего интерфейса, но чтоб инет работал, порты я потом нужные открою.

[vadim64]

на фряхе надо прописать:
1. разрешить всё внутри локалки
2. разрешить всё от фряхи в инет кип-стат
3. разрешить отовсюда к фряхе <список служб>
4. натить всё с локалки в инет и редиректить нужные в локалке службы

[snorlov]

Модем снаружи вообще закрыт полностью.
Пробрасывает нужные порты на фряху, которая уже их пробрасывает на нужные компы.
Так вот, чтоб для проброса нужного порта не делать двойные движения(сначала с модема пробросить на фряху, потом с фряхи на машину) можно включить мост - кинуть все с модема на фряху. И уже нужные - пробрасывать, но для этого нужно настроить безопасность на фре, так как она тогда будет открыта для инета.
Вот и спрашиваю: в данный конфиг чего нужно дописать, чтоб закрыть все с внешнего интерфейса, но чтоб инет работал, порты я потом нужные открою.

mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...

[mifey]

mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...

Как просканить и чему я буду удивлен?

[mifey]

на фряхе надо прописать:
1. разрешить всё внутри локалки
2. разрешить всё от фряхи в инет кип-стат
3. разрешить отовсюда к фряхе <список служб>
4. натить всё с локалки в инет и редиректить нужные в локалке службы

Так вот и спрашиваю, что и как дописать, не разберусь в конфиге(

[vadim64]

Код: Выделить всё

add 00050 check-state

# Allow IP via LAN-interface(s)
add 00420 allow ip from any to any via bce1

# Allow IP from me to any via WAN-interface
add 00430 allow ip from me to any via bce2 keep-state

# Deny IP from/to RFC1918 networks via WAN-interface(s)
add 01010 deny ip from any to 192.168.0.0/16 in recv bce2
add 01020 deny ip from 192.168.0.0/16 to any in recv bce2
add 01030 deny ip from any to 172.16.0.0/12 in recv bce2
add 01040 deny ip from 172.16.0.0/12 to any in recv bce2
add 01050 deny ip from any to 10.0.0.0/8 in recv bce2
add 01060 deny ip from 10.0.0.0/8 to any in recv bce2
add 01070 deny ip from any to 169.254.0.0/16 in recv bce2
add 01080 deny ip from 169.254.0.0/16 to any in recv bce2

# WAN-services
add 03020 allow tcp from any to me 21 in recv bce2 keep-state
add 03021 allow tcp from any to me 110 in recv bce2 keep-state
add 03022 allow tcp from any to me 143 in recv bce2 keep-state
add 03030 allow tcp from any to me 25 in recv bce2 keep-state
add 03040 allow tcp from any to me 1723 in recv bce2 keep-state
add 03050 allow tcp from any to me 5006 in recv bce2 keep-state
add 03060 allow tcp from any to me 80 in recv bce2 keep-state

nat 1 config if bce2 reset same_ports deny_in redirect_port tcp 192.168.9.49:3389 3389
add 50010 nat 1 ip from any to me via bce2
add 50030 nat 1 ip from 192.168.8.0.22 to any via bce2

add 65534 deny log ip from any to any

[snorlov]

mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...

Как просканить и чему я буду удивлен?

Поместите комп со сканером в сегмент между фрей и модемом и вы увидите на фре только те сервисы, которые вы повесили на внешний интерфейс...
Может все-таки надо понять, как работает тот же TCP/IP и IPFW, на сайте есть и статьи посвященные этому делу. Мы ведь посоветуем, а без вашего понимания, что вам насоветовали ... Вы сейчас прокидываете порты через модем и фрю, может вам в действительности нужен удаленный доступ к компам внутри локалки...