ipfw freebsd7.3

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

ipfw freebsd7.3

Непрочитанное сообщение Spook1680 » 2010-08-13 9:21:59

Почему-то не хочет инет идти.
Странно вроде не первый раз сталкивался с подобным.
Подскажите пожалуйста глаза уже намазолили.
По умолчанию все запрещено в фаэрволе.

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="7"
oip="7"
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

###Разрешить ssh с наружи и внутри
${fwcmd} add 115 allow tcp from any to ${oip} 22 via ${oif}

## FTP
${fwcmd} add 120 allow ip from any to ${oip} 21 via ${oif}
${fwcmd} add 130 allow ip from any to any 21 via ${oif}
#${fwcmd} add 140 allow ip from any to an 21 out via ${oif} setup keep-state


##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd all from any to ${oip} in via ${oif}
#Разрешаем трафик 80 внутри локалки
${fwcmd} add 511 allow tcp from any 80 to any via {iif}
${fwcmd} add 512 allow tcp from any to any 80 via {iif}

##Разрешаем DNS снаружи
${fwcmd} add 515 allow udp from any 53 to any via ${oif}
${fwcmd} add 520 allow udp from any to any 53 via ${oif}
#Разрешаем ICMP пакеты
${fwcmd} add 530 allow icmp from any to any icmptypes 0,8,11
#Разрешаем ssh в нутри сети
${fwcmd} add 540 allow tcp from any to ${iip} 22 via ${iif}


##Разрешаем весть tcp трафик внутри локальной сети
${fwcmd} add 600 allow tcp from any to any via ${iif}
${fwcmd} add 610 allow udp from any to any via ${iif}
${fwcmd} add 620 allow icmp from any to any via ${iif}

##Разрешаем все установленные соединения. Разрешаем всесь исходящий траф серверу
${fwcmd} add 1000 allow tcp from any to any established
${fwcmd} add 1100 allow ip from ${oip} to any out xmit ${oif}


rc.conf

Код: Выделить всё

ifconfig_stge0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_fxp0="inet 7 netmask 255.255.255.248"
defaultrouter="7"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_login="YES"
firewall_type="OPEN"
firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"
natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
ipfw show

NOVOSIB# ipfw show
00105 0 0 deny ip from any to 127.0.0.0/8
00110 0 0 deny ip from 127.0.0.0/8 to any
00111 69 10840 allow ip from any to any via lo0
00115 13 1788 allow tcp from any to 77. dst-port 22 via fxp0
00120 42 1983 allow ip from any to 77. dst-port 21 via fxp0
00130 0 0 allow ip from any to any dst-port 21 via fxp0
00500 5073 456169 divert 8668 ip from 192.168.5.0/24 to any out via fxp0
00510 6856 7453590 divert 8668 ip from any to 77. in via fxp0
00511 0 0 allow tcp from any 80 to any via {iif}
00512 0 0 allow tcp from any to any dst-port 80 via {iif}
00515 874 123455 allow udp from any 53 to any via fxp0
00520 874 60298 allow udp from any to any dst-port 53 via fxp0
00530 61 4404 allow icmp from any to any icmptypes 0,8,11
00540 1652 142696 allow tcp from any to 192.168.5.1 dst-port 22 via stge0
00600 11658 7938017 allow tcp from any to any via stge0
00610 18245 1654173 allow udp from any to any via stge0
00620 0 0 allow icmp from any to any via stge0
01000 10173 7719318 allow tcp from any to any established
01100 680 57379 allow ip from 77. to any out xmit fxp0
65535 4295 592484 deny ip from any to any
NOVOSIB#
Инет то был на компе то нет изчес, это у пользователей.
На самой фряхе инет есть.
И пинг почему-то не всегда пингует
с одного компа пинг проходит а с другова нет. Фаэрвол мозги мудрид.
FTP из мира не пашет а в нутри без проблем.

Вот с ssh вроде как все пучком и из мира и из локалки.
Подскажите где ошибки допущены пожалуйтса!.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw freebsd7.3

Непрочитанное сообщение vadim64 » 2010-08-13 16:23:43

Вы сами читали что здесь выложили?
Расказывайте сначала самого что за сеть с сервером и чего хотите от них добиться :evil:
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw freebsd7.3

Непрочитанное сообщение Spook1680 » 2010-08-13 19:05:25

vadim64 писал(а):Вы сами читали что здесь выложили?
Расказывайте сначала самого что за сеть с сервером и чего хотите от них добиться :evil:
В принципи я в начале сказал что инета нет.
Обычный шлюз пытаюсь поднять.
Пинг ya.ru идет на самой фряхе
а вот у пользователей инета нет.
Так же из внешнего мира не могу достучаться до FTP сервера
Поднять Proftpd
:pardon: То что проблема в правилах фаэрвола это точно.
Делал проверку, когда фаэрвол все разрешает и все бегало без проблем.

(по умолчанию все запрещено) :pardon: в конфиге все вроде как расписано.))))
вот кусочек лога когда пытаюсь из вне подключиться к серваку ftp
/var/log/security

Код: Выделить всё

:ipfw: 120 Accept TCP 212.45.15.3:50491  77.x.x.x:21 in via fxp0
last message repeated 15 times
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw freebsd7.3

Непрочитанное сообщение Spook1680 » 2010-08-13 23:46:19

:smile:
ошибку нашел.
Возможно кому то будет полезно.
Если у вас ipfw по умолчанию все запрещает и надо откырть доступ на ftp к примеру на порт ну скажем не 21 а
сделаем 4932

тогда в начале фаэрвола до строк с NAT
указываем

Код: Выделить всё

${fwcmd} add 110 allow log tcp from any to ${oip} 4932 via ${oif}
${fwcmd} add 120 allow  log tcp from any to me 49152-65535 in via ${oif}
где
oip - внеш. адрес ip
oif - внутр адрес ip

Так как я из тех кто страдает параное) то хотелось бы вариант более надежный
и с меньшим колич. портов открытых.
Если есть варианты более красивые напишите пожалуйста :drinks:
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipfw freebsd7.3

Непрочитанное сообщение Spook1680 » 2010-08-13 23:48:12

:oops: упс извиняюсь поздно))) спать пора) опечатку сделал
oif - это внешн. сетевуха
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "