firewall_nat freebsd8,2

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-25 14:07:47

Вот надо шлюз поднять да желательно еще с Squid (не прозрачный)
На 8.2 ядерный nat щупаем
Ядрышко с такими фичами

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"
обовляем в /etc/rc.conf
Т.е. то что будет запусткаться при старте сервера или перезагрузки

Код: Выделить всё

firewall_enable="YES"
firewall_login="YES"
firewall_natd_enable="YES"
firewall_type="/usr/local/etc/firewall-nat"
dummynet_enable="YES"

Создаем touch firewall-nat
Делаем исполняемым chmod +x firewall-nat

Так же пробросим порт, к примеру для того что бы можно было по rdp зайти на свой удаленный рабочий стол.
rl0 -локальный интерфейс
rl1 -внешний

Код: Выделить всё

#Разрешаем все внутри локалки
add 1040 allow ip from any to any via rl0
#Запрет. То что нельзя пускать на внешний интерфейс
add 1050 deny ip from any to 192.168.0.0/16 in recv rl1
add 1060 deny ip from 192.168.0.0/16 to any in recv rl1
add 1070 deny ip from any to 172.16.0.0/12 in recv rl1
add 1080 deny ip from 172.16.0.0/12 to any in recv rl1
add 1090 deny ip from any to 169.254.0.0/16 in recv rl1
add 1100 deny ip from 169.254.0.0/16 to any in recv rl1
#Доступ к серверу по ssh открываем.
add 10101 allow tcp from any to me 22 in via rl1 setup limit src-addr 2
#
#Открываем пор по которому работаем rdp
add 10203 allow ip from any 3389 to any via rl1
add 10204 allow ip from any to any 3389 via rl1
#Вот она самая вкусность ipfw + NAT пробрасываем порт в нутрь локальной сети. Плюс делаем NAT
nat 1 config log if rl1 reset same_ports redirect_port tcp 192.168.11.5:3389 3389
# Vse v NAT
add 10130 nat 1 ip from any to any via rl1
#Запрещаем все непонятное. 
add 65534 deny all from any to any

Это рабочий вариан (начальный )
Вопрос.
Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-26 21:22:04

Spook1680 писал(а): firewall_natd_enable="YES"
нахyй выкиньте
как у вас система на этот бред не материстя?!
Spook1680 писал(а): Это рабочий вариан (начальный )
Вопрос.
Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.
учите матчасть
эти протоколы не проксируются обычными средствами
нужны специальные трюки
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-26 23:23:50

Spook1680 писал(а): Это рабочий вариан (начальный )
Вопрос.
Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.
учите матчасть
эти протоколы не проксируются обычными средствами
нужны специальные трюки
[/quote]
:smile: Ага я как раз про трюки и спрашиваю! Если вы не знаете зачем пишете! Если знаете но не хотите писать то зачем коменты в пустоту.
Spook1680 писал(а):firewall_natd_enable="YES"


нахyй выкиньте
как у вас система на этот бред не материстя?!
Поставте 8.2 и увидете что все работате и не ругается. :smile:
нахyй выкиньте
:smile: Немного можно поспокойнее быть в общение. Заносчивость основана на
Сообщения: 1404
Но это не показатель. ( Проявляйте крутость в социальных сетях. Можете сделать французский жим или жим арнольда.(4подхода по 20 раз вес 10кг) Разместите свои спортивные фото или фото члена (если он у вас большой). Занимайтесь больше спортом и будьте вежливы.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-27 9:11:06

спасибо за психологическую консультацию
мне прям всё понятно стало и на свои места повставало
вы бы лучше между чтением переписки юнга с фрейдом, нашли время почитать литературу на тему сетевых сервисов
хотя если бы вы читали эту переписку, знали бы что попытки наездов на генитально-половые стороны жизни собеседника - признак тяжёлых комплексов и нарушеного гендерного самовосприятия
про сообщения мои вы ошибаетесь - я прексрано понимаю что больше половины из них в разделе /dev/null и относятся не к тематике форума, а являются обычным тролингом на разные отвлечённые темы.
по firewall_natd_enable: не обязательно что то пробовать, если знаешь что есть опция firewall_nat_enable для включения ядерного ната без пересборки ядра. а вы просто запутались между "старым" натом и "новым." не надо пробовать и проверять, просто выкиньте нахyй
по проксированию: я то как раз знаю что для проксирования этих протоколов не нужны "хитрые правила", для этого есть отдельные приблуды, в том числе один очень известный http-сервер имеет специальный модуль. надеюсь остальное вы нагуглите
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-27 10:21:53

vadim64 писал(а):спасибо за психологическую консультацию
мне прям всё понятно стало и на свои места повставало
вы бы лучше между чтением переписки юнга с фрейдом, нашли время почитать литературу на тему сетевых сервисов
хотя если бы вы читали эту переписку, знали бы что попытки наездов на генитально-половые стороны жизни собеседника - признак тяжёлых комплексов и нарушеного гендерного самовосприятия
про сообщения мои вы ошибаетесь - я прексрано понимаю что больше половины из них в разделе /dev/null и относятся не к тематике форума, а являются обычным тролингом на разные отвлечённые темы.
по firewall_natd_enable: не обязательно что то пробовать, если знаешь что есть опция firewall_nat_enable для включения ядерного ната без пересборки ядра. а вы просто запутались между "старым" натом и "новым." не надо пробовать и проверять, просто выкиньте нахyй
по проксированию: я то как раз знаю что для проксирования этих протоколов не нужны "хитрые правила", для этого есть отдельные приблуды, в том числе один очень известный http-сервер имеет специальный модуль. надеюсь остальное вы нагуглите
:ROFL:
попытки наездов на генитально-половые стороны жизни собеседника - признак тяжёлых комплексов и нарушеного гендерного самовосприятия
Все намного проще. Это попытка показать вам что можно (Раз вы человек с высшим образованием) писать без
выкиньте нахyй
Будьте вежливей. Снимите корону. :smile:
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-27 12:08:36

вы считаете что я не конструктивно ответил на ваш первый пост? какое то из моих замечаний является ошибочным? или вам мало просто помощи, вы хотите чтобы вам именно вежливо указывали какие именно вы делаете ошибки?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: firewall_nat freebsd8,2

Непрочитанное сообщение alex117 » 2011-08-27 18:48:46

Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.
Я ставил настраивал через httport, правда там такой глюк есть, что если прокси отключится по какой-то причине, то httport начинает глючить и лечится только полной переустановкой.

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-27 19:38:47

alex117 писал(а):Я ставил настраивал через httport, правда там такой глюк есть, что если прокси отключится по какой-то причине, то httport начинает глючить и лечится только полной переустановкой.
:Bravo:
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-27 21:46:10

alex117 писал(а):
Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.
Я ставил настраивал через httport, правда там такой глюк есть, что если прокси отключится по какой-то причине, то httport начинает глючить и лечится только полной переустановкой.
ОК. Попробую по тестировать. :smile:
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
tynix
сержант
Сообщения: 246
Зарегистрирован: 2008-08-06 8:25:42
Откуда: Красноярск

Re: firewall_nat freebsd8,2

Непрочитанное сообщение tynix » 2011-08-28 15:43:23

Squid (англ. squid — «кальмар») — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS
Тут не http-proxy нужен, а SOCKS (3proxy, к примеру) + на клиенте соксификатор (Freecap). Может сработать, может-не. А фрю с фаером хоть заново перепиши-сквид от этого не станет работать с POP3/SMTP.
Кстати, прислушайтесь к Вадиму и разберитесь, какой нат пользуете- natd или ipfw_nat. Может в будущем где-нибудь боком вылезти.
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-28 16:21:34

tynix писал(а):Squid (англ. squid — «кальмар») — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS
Тут не http-proxy нужен, а SOCKS (3proxy, к примеру) + на клиенте соксификатор (Freecap). Может сработать, может-не. А фрю с фаером хоть заново перепиши-сквид от этого не станет работать с POP3/SMTP.
Кстати, прислушайтесь к Вадиму и разберитесь, какой нат пользуете- natd или ipfw_nat. Может в будущем где-нибудь боком вылезти.
Спасибо за ссылку. Поюзаю. В реальности на боевых серваках везде стоит natd :smile: 8.2 ipfw_nat юзаю только на виртуалке (зверек для меня не проверенный).
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-29 6:31:11

как же вы что то используете, если не понимаете что пишете в rc.conf?

Код: Выделить всё

[7:27]  /var/squid/cache >cat -n /etc/rc.firewall | grep nat
   108		# Allow ICMPv6 destination unreach
   145	# Network Address Translation.  All packets are passed to natd(8)
   147	# will then be run again on each packet after translation by natd
   155		case ${natd_enable} in
   157			if [ -n "${natd_interface}" ]; then
   158				${fwcmd} add 50 divert natd ip4 from any to any via ${natd_interface}
   162		case ${firewall_nat_enable} in
   164			if [ -n "${firewall_nat_interface}" ]; then
   165				if echo "${firewall_nat_interface}" | \
   167					firewall_nat_flags="ip ${firewall_nat_interface} ${firewall_nat_flags}"
   169					firewall_nat_flags="if ${firewall_nat_interface} ${firewall_nat_flags}"
   171				${fwcmd} nat 123 config log ${firewall_nat_flags}
   172				${fwcmd} add 50 nat 123 ip4 from any to any via ${firewall_nat_interface}
   311		# translated by natd(8) would match the `deny' rule above.  Similarly
   312		# an outgoing packet originated from it before being translated would
   314		case ${natd_enable} in
   316			if [ -n "${natd_interface}" ]; then
   317				${fwcmd} add divert natd ip4 from any to any via ${natd_interface}
[7:27]  /var/squid/cache >
где вы тут видите вашу опцию firewall_natd_enable?
или может вы настолько серьёзно используете фаервол и наты, что решили дописать в /etc/rc.firewall свои опции и следите за этим при обновлении?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: firewall_nat freebsd8,2

Непрочитанное сообщение Spook1680 » 2011-08-29 7:15:34

vadim64 писал(а):как же вы что то используете, если не понимаете что пишете в rc.conf?

Код: Выделить всё

[7:27]  /var/squid/cache >cat -n /etc/rc.firewall | grep nat
   108		# Allow ICMPv6 destination unreach
   145	# Network Address Translation.  All packets are passed to natd(8)
   147	# will then be run again on each packet after translation by natd
   155		case ${natd_enable} in
   157			if [ -n "${natd_interface}" ]; then
   158				${fwcmd} add 50 divert natd ip4 from any to any via ${natd_interface}
   162		case ${firewall_nat_enable} in
   164			if [ -n "${firewall_nat_interface}" ]; then
   165				if echo "${firewall_nat_interface}" | \
   167					firewall_nat_flags="ip ${firewall_nat_interface} ${firewall_nat_flags}"
   169					firewall_nat_flags="if ${firewall_nat_interface} ${firewall_nat_flags}"
   171				${fwcmd} nat 123 config log ${firewall_nat_flags}
   172				${fwcmd} add 50 nat 123 ip4 from any to any via ${firewall_nat_interface}
   311		# translated by natd(8) would match the `deny' rule above.  Similarly
   312		# an outgoing packet originated from it before being translated would
   314		case ${natd_enable} in
   316			if [ -n "${natd_interface}" ]; then
   317				${fwcmd} add divert natd ip4 from any to any via ${natd_interface}
[7:27]  /var/squid/cache >
где вы тут видите вашу опцию firewall_natd_enable?
или может вы настолько серьёзно используете фаервол и наты, что решили дописать в /etc/rc.firewall свои опции и следите за этим при обновлении?
:smile: А при чем тут эта опция.
Вы же в первом коментарии что мне сказали.
Spook1680 писал(а):firewall_natd_enable="YES"
нахyй выкиньте
как у вас система на этот бред не материстя?!
:smile: Человек который не знает меня и которого не знаю я. Общается самной в таком тоне. Зачем мне ему объяснять что это опечатка. (а не Ctr+C и Ctr+V). Пожалуйста будьте вежливей.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: firewall_nat freebsd8,2

Непрочитанное сообщение vadim64 » 2011-08-29 9:06:45

:-D
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.