8.1 ipfw

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

8.1 ipfw

Непрочитанное сообщение Spook1680 » 2011-02-01 18:02:08

странно на 7.3 все пахало. вот шлюз собран на 8.1 и не пингуется да же на самом шлюзе
А вот когда правила выключаю все пингуется.

Код: Выделить всё

Firewall rules loaded.
/etc/netstart: /etc/rc.d/ip6fw: not found
add net default: gateway 91....
Additional routing options: IP gateway=YES.
KR#

cat rc.firewall

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
##
oif="rl1"
onet="91..../28"
oip="91..."
##
iif="rl0"
inet="192.168.19.0/24"
iip="192.168.19.1"

##
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
##
${fwcmd} add 95 allow ip from any to any via lo0
${fwcmd} add 96 allow ip from any to any via tun0
${fwcmd} add 100 deny icmp from any to any frag
${fwcmd} add 102 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 103 deny ip from any to 172.16.0.0/12 in via ${oif}
${fwcmd} add 104 deny ip from any to 240.0.0.0/4 in via ${oif}
##
##Realizacia NATD
${fwcmd} add 500 divert natd all from ${inet} to any out via ${oif}
${fwcmd} add 800 divert natd all from any to ${oip} in via ${oif}
##
${fwcmd} add 900 allow tcp from any to any established
${fwcmd} add 901 allow ip from ${oip} to any out xmit ${oif}
##
${fwcmd} add 1100 allow udp from any 53 to any via ${oif}
${fwcmd} add 1200 allow udp from any to any 53 via ${oif}
${fwcmd} add 1210 allow icmp from any to any icmptypes 0,8,11
##
${fwcmd} add 1300 allow tcp from any to any via ${iif}
${fwcmd} add 1400 allow udp from any to any via ${iif}
${fwcmd} add 1500 allow icmp from any to any via ${iif}
##

rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_login="YES"
firewall_type="open"
#firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"

ifconfig

Код: Выделить всё

ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0e:a6:65:11:45
        inet 192.168.19.1 netmask 0xffffff00 broadcast 192.168.19.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:50:ba:b4:d0:55
        inet 9 netmask 0xfffffff8 broadcast 
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536 - вот этого раньше небыло в 7.3 это что))
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 8.1 ipfw

Непрочитанное сообщение hranitel_y2k » 2011-02-01 19:14:56

С самой freebsd не пингуется? Готов поспорить что из сетки пинги идут ;-)
У меня те же проблемы были, решение - добавить правила для выхода в инет самого роутера.
к примеру:

Код: Выделить всё

${fwcmd} add 93 check-state
...
${fwcmd} add 901 allow ip from ${oip} to any out xmit ${oif} keep-state
Можно и попроще, но это не очень правильно:

Код: Выделить всё

${fwcmd} add 500 divert natd all from any to any out via ${oif}
Все гениальное - просто!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: 8.1 ipfw

Непрочитанное сообщение Spook1680 » 2011-02-01 20:51:20

hranitel_y2k писал(а):С самой freebsd не пингуется? Готов поспорить что из сетки пинги идут ;-)
У меня те же проблемы были, решение - добавить правила для выхода в инет самого роутера.
к примеру:

Код: Выделить всё

${fwcmd} add 93 check-state
...
${fwcmd} add 901 allow ip from ${oip} to any out xmit ${oif} keep-state
Можно и попроще, но это не очень правильно:

Код: Выделить всё

${fwcmd} add 500 divert natd all from any to any out via ${oif}
Спасибо помогло с 93 и 901 правилом ). Пинг пошел. тока не пойму почему так и не пускает по ssh на внешний ip
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 8.1 ipfw

Непрочитанное сообщение hranitel_y2k » 2011-02-01 22:46:31

Spook1680 писал(а): Спасибо помогло с 93 и 901 правилом ). Пинг пошел. тока не пойму почему так и не пускает по ssh на внешний ip
Правило на вход прописывайте. как то так:

Код: Выделить всё

${fwcmd} add 105 allow ip from any to ${oip} 22 in recv ${oif} setup
лучше почитать тут: http://www.lissyara.su/doc/docs/handboo ... /#28.6.5.7
Все гениальное - просто!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: 8.1 ipfw

Непрочитанное сообщение Spook1680 » 2011-02-02 1:56:18

ок. Спасибо. Все разрулил.
Наводит смуту только вот это

Код: Выделить всё

Firewall rules loaded.
natd already running? (pid=2667).
[b]/etc/netstart: /etc/rc.d/ip6fw: not found
[/b]
Это что за косяк или это баг.
Кто сталкивался с подобным

Проблема полностью совподает с этой страничкой
http://www.mail-archive.com/freebsd-bu ... 3874.html
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "