Помогите с ipfirewall для локалки с 2мя провайдерами

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
smoul
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-09-22 3:41:04

Помогите с ipfirewall для локалки с 2мя провайдерами

Непрочитанное сообщение smoul » 2011-10-08 8:10:34

Помогите, пожалуйста с правилами ipfw + nat
У меня дома есть небольшая локалка 192.16850.0/24 в ней FreeBSD 8.2 c ip rl1:192.168.50.9
К серверу подключены домашние машины, модем (192.168.2.1) в режиме роутера к sk0:192.168.2.2, а также городская сеть 172.20.0.0/24 к rl0: 172.20.0.211
Вот схема сети
Документ5.png
Использую ipfw и ядерный файерволл
Как правильно настроить правила, чтобы компьютеры в локалке 192.168.50.0/24 имели доступ к компьютерам городской сети 172.20.0.1 (там есть серверы с локальными файлами и т.д.) , чтобы из городской сети 172.20.0.1/24 могли попасть на серверы в моей локалке 192.168.50.0/24?
Чтобы некоторые клиенты моей локалки выходили в интернет через модем 192.168.2.1, некоторые через городской шлюз 172.20.0.1 с траффик-инспектором? В интернет через городской шлюз я должен ходить через нат, т.к. он пускает только IP и MAC сервера с FreeBSD, а вот к клиентам городской сети нужно ходить без ната, просто по маршруту, чтобы они видели реальный IP. Кроме всего прочего некоторые клиенты должны ходить в интернет через модем, но также видеть городскую сеть и быть доступными оттуда. На модеме поднят свой NAT.
Спасибо заранее всем ответившим :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Помогите с ipfirewall для локалки с 2мя провайдерами

Непрочитанное сообщение vadim64 » 2011-10-10 8:48:42

какие то наработки есть уже?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

smoul
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-09-22 3:41:04

Re: Помогите с ipfirewall для локалки с 2мя провайдерами

Непрочитанное сообщение smoul » 2011-10-12 6:23:14

Сейчас

Код: Выделить всё

#ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01050 fwd 127.0.0.1,3129 tcp from 192.168.50.0/24 to not 192.168.50.0/24,172.20.0.0/24 dst-port 80 in
01100 fwd 192.168.50.8,8530 tcp from any to 192.168.50.9 dst-port 8530 in
01300 fwd 192.168.2.1 ip from 192.168.2.2 to any
01310 allow udp from me to any dst-port 137
01320 allow udp from any to me dst-port 137
01330 allow udp from me to any dst-port 138
01330 allow udp from any to me dst-port 138
01350 allow tcp from any to me dst-port 445
01360 allow tcp from any to me dst-port 139
01370 allow tcp from me to any dst-port 139
01380 allow tcp from me to any dst-port 445
01400 allow ip from any to any via re0
01500 allow ip from any to any via sk0
01600 allow ip from any to any via re0
01610 queue 22 ip from 192.168.50.51 to not 192.168.50.0/24,172.20.0.0/24
01620 queue 11 ip from 192.168.50.29 to not 192.168.50.0/24,172.20.0.0/24
01700 nat 1 ip from any to any via re1
01750 fwd 172.20.0.1 ip from 172.20.0.211 to any
01800 allow ip from 172.20.0.0/24 to me via re1
01900 allow ip from any to any via ng0
02000 allow ip from any to any via tun0
30010 queue 1 ip from not 192.168.50.0/24,172.20.0.0/24 to 192.168.50.29
30030 queue 2 ip from not 192.168.50.0/24,172.20.0.0/24 to 192.168.50.51
50010 allow ip from any to any via re1
65535 deny ip from any to any

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: Помогите с ipfirewall для локалки с 2мя провайдерами

Непрочитанное сообщение RAGNAR » 2011-10-13 8:44:48

вот тебе точно сюда

http://www.lissyara.su/articles/freebsd ... #example_5
... Да освятится имя твое и pасшиpение твое, Господи...

Termitnik
сержант
Сообщения: 169
Зарегистрирован: 2008-04-05 20:09:45
Откуда: Киев

Re: Помогите с ipfirewall для локалки с 2мя провайдерами

Непрочитанное сообщение Termitnik » 2011-10-13 17:32:26

Как правильно настроить правила, чтобы компьютеры в локалке 192.168.50.0/24 имели доступ к компьютерам городской сети 172.20.0.1 (там есть серверы с локальными файлами и т.д.) , чтобы из городской сети 172.20.0.1/24 могли попасть на серверы в моей локалке 192.168.50.0/24?
Для ipfw достаточно будет двух правил:

Код: Выделить всё

ipfw add allow ip from 192.168.50.0/24 to 172.20.0.0/24
ipfw add allow ip from 172.20.0.0/24 to 192.168.50.0/24
Но работать будет, только при настроенной машрутизации между 172.20.0.0/24 и 192.168.50.0/24, а это задача не для ipfw