IPFW + IPFW NAT + Включаемый фаервол.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-21 10:41:09

Фаервол

Код: Выделить всё

#!/bin/sh
int0="stge0"
ext0="stge1"
ext1="stge2"
ip_ats="192.168.0.2"
skip="skipto 10010"

ipfw -q flush

# атс-ка работает через один канал, локалка через другой
ipfw add 7 setfib 0 ip from not ${ip_ats} to any in via ${int0}
ipfw add 8 setfib 1 ip from ${ip_ats} to any in via ${int0}

# разрешаем для безопасного
ipfw add 9 allow ip from any to any via ${int0}
ipfw add 10 allow ip from any to any via lo0

ipfw add 15 check-state

# разрешаем определенный порт (сокращенный список)
ipfw add 1000 ${skip} tcp from any to any 80 out via ${ext0} setup keep-state

# запрещаем все, что не по правилам
ipfw add 9998 deny ip from any to any via ${ext0}
upfw add 9999 deny ip from any to any via ${ext1}

# NAT
ipfw nat 1 config if ${ext0} same ports reset deny_in
Ipfw nat 2 config if ${ext1} same ports reset deny_in

ipfw add 10010 nat 1 ip from any to any via ${ext0}
ipfw add 10011 nat 2 ip from any to any via ${ext1}

# разрешаем все, что вышло из NAT-а
ipfw add 50000 allow ip from any to any
По моей логике: правило 1000, скип до ната и правило 50000, вход снаружи по причине keep-state, скип до ната, и снова правило 50000. Интернета нет. Стучусь из локалки, открываю по IP (разрешения до днс пока не прописывал, чтобы не усложнять осмысливание). Ткните пальцем, что не так.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Shuba » 2012-09-21 12:16:15

Попробуй в 1000 правиле убрать сохранение состояния
Сила ночи, сила дня - одинакова фигня!

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-21 21:14:16

Т.е. нат сам поддерживает двунаправленное соединение? Пока дотянуться до компа не могу, выходные. В понедельник попробую.

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-24 13:42:32

Не то.

Upd.
Моя невнимательность. Забыл после setup скипать "establihed" подключения. Разобрался, заработало. Мб кому поможет.

Код: Выделить всё

ipfw add 11 ${skip} ip from any to any established

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-24 14:40:43

Теперь другая бида. DNS не срабатывает. Файл тот-же. Добавились строки из предыдущего поста и сия строчка:

Код: Выделить всё

ipfw add 1001 ${skip} udp from any to any 53 out via ${ext0} setup
Телнетом цепляется, а nslookup - таймаут.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение skeletor » 2012-09-24 15:25:23

А как ты можешь цепляться telnet'ом к udp порту?

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-24 16:02:40

Первоначально прописывал ip (any), поэтому и цеплялся. Потом погуглил и пришел к выводу, что чаще в манах упоминается udp и переделал на него.

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-09-25 9:00:48

Спасибо, что позволяете разобраться самому :-D

Код: Выделить всё

ipfw add 1002 ${skip} udp from any to any 53 via ${ext0}
ipfw add 1003 ${skip} udp drom any 53 to any via ${ext0}
Волшебный setup не работает в отношении DNS и ICMP-запросов, а keep-state выводит пакеты из фаервола до NAT-а.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение skeletor » 2012-09-25 11:36:42

Да, для UDP setup не работает :)

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-10-03 14:39:39

И это снова я.
есть правила (остальные закомментил, чтобы не мешали)

Код: Выделить всё

# ${int0} - локальный интерфейс
# ${ext1} - смотрит в инет
ipfw add 8 setfib 1 ip from ${local_ip} to any in via ${int0}
ipfw add 10 allow ip from any to any via ${int0}
ipfw add 11 allow ip from any to any via lo0
ipfw add 2003 skipto 10020 ip from ${whitelist} to any in via ${ext1}
ipfw add 2004 skipto 10020 ip from any to ${whitelist} out via ${ext1}
ipfw add 9999 deny ip from any to any via ${ext1}

ipfw nat 2 config if ${ext1} same_ports redirect_addr ${local_ip} ${external_ip}
ipfw add 10020 nat 2 ip from any to any via ${ext1}
ipfw add 10030 allow ip from any to any
Правила исправно проходят через 2003, заходят в нат (счетчики растут одновременно). Слушал tcpdump-ом порт 22 на интерфейсе наружу и интерфейсе в локалку. Снаружи пакеты приходят, до локалки не доходят. При это deny счетчики не растут.

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-10-03 14:50:07

Нашел косяк. Пакеты какого-то черта уходят на другой интерфейс. Назовем его ${ext0}, который является дефолтным интернетом для роутера.Вопрос, почему...

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение skeletor » 2012-10-03 15:21:52

пакеты уходят согласно маршрутизации, если иное не сделано через файервол.

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-10-03 16:53:32

Пакеты, приходящие с 192.168.0.2 уходят в fib 1, в таблице маршрутизации которого ясно прописано - все посылать через ${ext1}
Но тут даже до этого не доходит (по крайней мере насколько я понимаю эту тему). Пакет приходит из ${ext1}, якобы натится и вместо того, чтобы уйти в локалку на ${local_ip} он отправляется назад в сторону ${whitelist}, от имени интерфейса ${ext1} через интерфейс ${ext0} (что вполне здраво, ведь в fib 0 загоняется трафик от совершенно иного IP). Специально добавил блокировку всего трафика, идущего через основной канал.

Код: Выделить всё

ipfw add 9998 deny ip from any to any via #{ext0}
Счетчик этого правила растет одновременно со счетчиком правил 2003, 10020, 10030, количество пакетов/байт инфы абсолютно идентичны...

Dampire
рядовой
Сообщения: 25
Зарегистрирован: 2012-08-29 8:29:15
Откуда: Набережные Челны

Re: IPFW + IPFW NAT + Включаемый фаервол.

Непрочитанное сообщение Dampire » 2012-10-04 9:32:49

:st:
redirect_port работает, redirect_addr - нет. Это бага системы или моя?
:st:

FreeBSD 9.0