Вопрос по IPFW

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
krik
рядовой
Сообщения: 15
Зарегистрирован: 2011-01-01 16:31:00

Вопрос по IPFW

Непрочитанное сообщение krik » 2011-05-13 18:17:18

Всем привет. Парни, уже совсем запутался с IPFW.
Для начала привожу весь конфиг IPFW

Код: Выделить всё

#!/bin/sh -
# Manual script for ipfw
echo "Checking ng_ipfw..."
kldstatscript=`kldstat | grep ng_ipfw`
if [ "$kldstatscript" = "" ]; then
   echo "Starting ng_ipfw..."
      kldload ng_ipfw > /dev/null 2>&1
fi
echo -n "Starting firewall..."
ipfw="/sbin/ipfw"

#Network Spark
wan_if="bge1"
wan_ip="10.66.1.184"

#OSPF
ospf_if="vlan4001"
ospf_ip="10.30.30.2"

#Билайн
lan_if="bge0"
lan_ip="10.175.134.145"
lan_net="10.0.0.0/8"

#VPN
vpn_if="ng*"
vpn_net="192.168.10.0/24"

${ipfw} -q flush
${ipfw} -q pipe flush
${ipfw} -q queue flush
${ipfw} -q table 1 flush
${ipfw} -q table 2 flush
${ipfw} -q table 3 flush
${ipfw} -q table 4 flush
${ipfw} -q table 5 flush
${ipfw} -q table 6 flush
${ipfw} -q table 7 flush
${ipfw} -q table 8 flush

${ipfw} deny ip from 192.168.0.0/16 in via bge*

#Петля на себя
${ipfw} add allow all from any to any via lo0
${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny all from 127.0.0.0/8 to any
#####################################################################
#В инет и локалку Спарка - VPN 
${ipfw} table 1 add 192.168.10.0/24 #уЕФШ VPN
######################################################################
#VPN Админы (Beeline)
${ipfw} table 4 add 172.1.1.0/24
######################################################################
#VPN Юзеры (Beeline)
${ipfw} table 5 add 172.2.2.0/24
######################################################################
# Beeline
${ipfw} table 6 add 10.175.0.0/16 # Мой район
######################################################################
#Разрешаем с ВПН сеть Spark
${ipfw} table 7 add 86.110.0.0/16 #Servers Spark
${ipfw} table 7 add 10.0.0.0/12 #Часть сети Спарк
${ipfw} table 7 add 172.25.0.0/16
${ipfw} table 7 add 10.66.0.0/16
#######################################################################
#Доступ по всем портам на сервер Corbina
${ipfw} table 3 add 10.175.XXX.XXX #Krik
########################################################################
#${ipfw} table 8 add 10.66.XXX.XXX     #Krik Spark
#########################################################################
#Отбиваемся от хлама
${ipfw} add deny all from any to 169.254.0.0/16 in via $wan_if
${ipfw} add deny all from any to 169.254.0.0/16 in via $lan_if
##########################################################################
#OSPF
${ipfw} add allow all from any to 224.0.0.0/5 in via $ospf_if
###########################################################################
#Доступ по айпи Админам
${ipfw} add allow all from "table(3)" to $lan_ip via $lan_if
${ipfw} add allow all from $lan_ip to "table(3)" via $lan_if

${ipfw} add allow all from "table(3)" to $wan_ip via $wan_if
${ipfw} add allow all from $wan_ip to "table(3)" via $wan_if
############################################################################
${ipfw} add allow ip from $wan_ip to any out xmit $wan_if # Разрешаем серверу в Spark
${ipfw} add allow ip from $lan_ip to any out xmit $lan_if #Разрешаем серверу в Beeline
#############################################################################
${ipfw} add allow udp from any 53 to any via $wan_if #Разрешаем DNS SPark
${ipfw} add allow udp from any 53 to any via $lan_if #Разрешаем DNS Beeline
#############################################################################
# NTP
${ipfw} add allow udp from any to any 123 via $wan_if
###############################################################################
#Доступ на сервер по портам - ВПН сервер
${ipfw} add allow tcp from any to $wan_ip 1723 setup via $wan_if	#Spark
${ipfw} add allow tcp from any to $lan_ip 1723 setup via $lan_if	#Beeline
##############################################################################
#Разрешаем пинги на сервер с Спарка
${ipfw} add allow icmp from me to any via $wan_if
${ipfw} add allow icmp from any to me via $wan_if
#Разрешаем пинги на сервер с Beeline
${ipfw} add allow icmp from me to any via $lan_if
${ipfw} add allow icmp from any to me via $lan_if

${ipfw} add allow icmp from me to any via $vpn_if
${ipfw} add allow icmp from any to me via $vpn_if

#-------------------------------------------------------------------------------
#GRE
${ipfw} add allow gre from any to any via $wan_if
${ipfw} add allow gre from any to any via $vpn_if

#-------------------------------------------------------------------------------
#Конфиг NAT
${ipfw} nat 1 config ip $wan_ip same_ports deny_in unreg_only

#NAT 
${ipfw} add allow all from "table(1)" to any in via $vpn_if
${ipfw} add nat 1 all from "table(1)" to any out via $wan_if
${ipfw} add allow all from $wan_ip to any out via $wan_if
${ipfw} add nat 1 all from any to $wan_ip in via $wan_if
${ipfw} add allow all from any to "table(1)" in via $wan_if
${ipfw} add allow all from any to "table(1)" out via $vpn_if

#-------------------------------------------------------------------------------

#Блокировки
${ipfw} 65534 add deny log all from any to any
ВПНки цепляются, http трафик проходит в сеть спарка, но вот при трассировке с компа ВПН клиента такая картина.

Код: Выделить всё

C:\Users\krik>tracert -d spark-media.ru

Трассировка маршрута к spark-media.ru [86.110.181.162]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  10.175.134.145
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
и.т.д.
Помогите исправить, что я не так делаю?
С серва трассировка ходит нормально в обе стороны.
Последний раз редактировалось f_andrey 2011-05-13 18:33:06, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Вопрос по IPFW

Непрочитанное сообщение Гость » 2011-05-13 18:35:41

Помогите исправить, что я не так делаю?
всё
#Блокировки
${ipfw} 65534 add deny log all from any to any
man ipfw
вот и смотрите какие пакеты попадают сюда при трассировке

а вообще удалите весь конфиг свой
и оставте одно правило
pass all from any to any

krik
рядовой
Сообщения: 15
Зарегистрирован: 2011-01-01 16:31:00

Re: Вопрос по IPFW

Непрочитанное сообщение krik » 2011-05-13 18:41:01

Код: Выделить всё

а вообще удалите весь конфиг свой
и оставте одно правило
Это не выход.

Гость
проходил мимо

Re: Вопрос по IPFW

Непрочитанное сообщение Гость » 2011-05-13 18:48:30

еще какой выход! для тех сурьезных Одминов которые не знают как работает tracert,
но уже спешат городить фаерволы

вас на проф пригодность к данной профессии когда брали, проводили? там про протоколы итд спрашивали?

krik
рядовой
Сообщения: 15
Зарегистрирован: 2011-01-01 16:31:00

Re: Вопрос по IPFW

Непрочитанное сообщение krik » 2011-05-13 18:51:29

Я не Админом работаю, у меня другая специализация. Это просто для Дома горожу.

Гость
проходил мимо

Re: Вопрос по IPFW

Непрочитанное сообщение Гость » 2011-05-13 19:09:12

считай что отмазались!
ну для дома pass all from any to any, тоже сгодится