ipfw+ natd и пользователи WINDOWS 7

[Spook1680]

Коллеги не сталкивался с таким.
С данной конфигурацие фаэрвола у пользователей хр есть интернет НО У пользователей WINDOW7 нет это как!!!!!!!

rc.firewall

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="7."
oip="7"
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -q -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

###Разрешить ssh с наружи и внутри
${fwcmd} add 115 allow log tcp from any to ${oip} 22 via ${oif}
###ICMP
${fwcmd} add 117 allow log icmp from any to any icmptypes 0,3,4,8,11,12

## FTP
${fwcmd} add 120 allow log tcp from any to ${oip} 21 via ${oif}
${fwcmd} add 136 allow tcp from any to me 49152-65535 in via ${oif}


## Разрешаем 80 порт открываем его
${fwcmd} add 145 allow tcp from any to ${oip} 80 via ${oif}
#${fwcmd} add 150 allow tcp from ${inet} to any 80 via ${oif}
${fwcmd} add 160 allow tcp from any to me 80 in via ${oif}

##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd log all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd log all from any to ${oip} in via ${oif}
#Разрешаем трафик 80 исходящий www
#${fwcmd} add 512 allow log tcp from any to any 80,443 out via ${oif} setup keep-state
##Разрешаем все одним правилом для tcp udp grep
${fwcmd} add 514 allow ip from any to any via ${iif}

##Разрешаем DNS снаружи
${fwcmd} add 515 allow udp from any 53,123 to any via ${oif}
${fwcmd} add 520 allow udp from any to any 53,123 via ${oif}
#Разрешаем ICMP пакеты
#${fwcmd} add 530 allow log icmp from any to any icmptypes 0,3,4,8,11,12
#Разрешаем ssh в нутри сети
${fwcmd} add 540 allow log tcp from any to ${iip} 22 via ${iif}
#FTP внутри сети
${fwcmd} add 545 allow log tcp from any to ${iip} 21 via ${iif}
}
##Разрешаем весть tcp трафик внутри локальной сети
##Разрешаем весть tcp трафик внутри локальной сети
${fwcmd} add 600 allow log tcp from any to any via ${iif}
${fwcmd} add 610 allow log udp from any to any via ${iif}
${fwcmd} add 620 allow log icmp from any to any via ${iif}
## Проверим выход 80 порта что бы у польз. был инет
${fwcmd} add 650 allow tcp from any 80,443 to any via ${oif}
${fwcmd} add 660 allow tcp from any to any 80,443 via ${oif}

##Разрешаем все установленные соединения. Разрешаем всесь исходящий траф серверу
${fwcmd} add 1000 allow log tcp from any to any established
${fwcmd} add 1100 allow log ip from ${oip} to any out xmit ${oif}
##Все что не пропустилось в лог
${fwcmd} add 1500 deny log logamount 3000 all from any to any

На компах с виндовс хр все работает инет идет )) только пингов нет)).
А вот на компах с window7 не инета не пингов.(( Подскажите пожалуйтса.!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Какая версия FreeBSD?

[Spook1680]

Какая версия FreeBSD?

7.3 извините забыл указать.

[terminus]

Код: Выделить всё

${fwcmd} add 112 count ip from any to any frag

и потом ipfw -d show

[Spook1680]

Код: Выделить всё

${fwcmd} add 112 count ip from any to any frag

и потом ipfw -d show

Получилось вот так

ipfw show
00105 16 1144 deny ip from any to 127.0.0.0/8
00110 0 0 deny ip from 127.0.0.0/8 to any
00111 0 0 allow ip from any to any via lo0
00112 0 0 count ip from any to any frag
00115 0 0 allow log logamount 100 tcp from any to 77 dst-port 22 via fxp0
00117 22 1288 allow log logamount 100 icmp from any to any icmptypes 0,3,4,8,11,12
00120 0 0 allow log logamount 100 tcp from any to 77. dst-port 21 via fxp0
00136 42 2016 allow tcp from any to me dst-port 49152-65535 in via fxp0
00145 0 0 allow tcp from any to 77. dst-port 80 via fxp0
00160 0 0 allow tcp from any to me dst-port 80 in via fxp0
00500 4440 270457 divert 8668 log logamount 100 ip from 192.168.5.0/24 to any out via fxp0
00510 5990 4561283 divert 8668 log logamount 100 ip from any to 77. in via fxp0
00514 12362 5053193 allow ip from any to any via stge0
00515 11 1665 allow udp from any 53,123 to any via fxp0
00520 9 581 allow udp from any to any dst-port 53,123 via fxp0
00540 0 0 allow log logamount 100 tcp from any to 192.168.5.1 dst-port 22 via stge0
00545 0 0 allow log logamount 100 tcp from any to 192.168.5.1 dst-port 21 via stge0
00600 0 0 allow log logamount 100 tcp from any to any via stge0
00610 0 0 allow log logamount 100 udp from any to any via stge0
00620 0 0 allow log logamount 100 icmp from any to any via stge0
00650 450 428614 allow tcp from any 80,443 to any via fxp0
00660 494 95130 allow tcp from any to any dst-port 80,443 via fxp0
01000 9485 4303728 allow log logamount 100 tcp from any to any established
01100 25 2506 allow log logamount 100 ip from 77. to any out xmit fxp0
01500 0 0 deny log logamount 3000 ip from any to any
65535 11 3550 deny ip from any to any

Но инет не пашет всеравно)) Странно, до смешного доходит.

[Spook1680]

Неужели идей не укого нет. Я не прошу сказать прямой ответ.
Подскажите кто видит ошибку куда можно рыть.

[dikens3]

Для начала освойте TCPDUMP. (TCPDUMP -i ИНТЕРФЕЙС и протокол ICMP, не помню синтаксис, читайте MAN по нему)

Посмотрите, доходит ли PING с компьютеров Windows 7.

Если доходит PING до вашего шлюза, смотрите как он (PING и т.п.) идёт по вашим правилам используя опцию LOG. Где натится, где принимается, где отправляется.

Должно быть так:
1. Начинается обработка правил IPFW.
Каким то правилом пакет принимается на внутреннем интерфейсе.

2. Обработка пакета снова начинается сверху вниз.
Попадается правило с NAT и пакет натится.
3. После ната должно быть разрешающее правило на отправку в интернет.

Обратно примерно аналогично:
1. Начинается обработка правил IPFW.
Попадается правило с NAT и пакет натится(разНАЧивается/деНАТится).

2. Ниже, каким-то правилом пакет принимается на интерфейсе интернет.

3. Обработка пакета снова начинается сверху вниз.
Срабатывает разрешающее правило на отправку через внутренний интерфейс.

[ADRE]

айпифв и нат не зависят от виндовс.

[Spook1680]

Для начала освойте TCPDUMP. (TCPDUMP -i ИНТЕРФЕЙС и протокол ICMP, не помню синтаксис, читайте MAN по нему)

Посмотрите, доходит ли PING с компьютеров Windows 7.

Если доходит PING до вашего шлюза, смотрите как он (PING и т.п.) идёт по вашим правилам используя опцию LOG. Где натится, где принимается, где отправляется.

Должно быть так:
1. Начинается обработка правил IPFW.
Каким то правилом пакет принимается на внутреннем интерфейсе.

2. Обработка пакета снова начинается сверху вниз.
Попадается правило с NAT и пакет натится.
3. После ната должно быть разрешающее правило на отправку в интернет.

Обратно примерно аналогично:
1. Начинается обработка правил IPFW.
Попадается правило с NAT и пакет натится(разНАЧивается/деНАТится).

2. Ниже, каким-то правилом пакет принимается на интерфейсе интернет.

3. Обработка пакета снова начинается сверху вниз.
Срабатывает разрешающее правило на отправку через внутренний интерфейс.

Шлюз с компа пользователя вижу
Машина пользователя 192.168.5.35 пинг. шлюз 192.168.5.1 все проходит.
а вот пинг www.ya.ru происходит.
Запускаю пинг на машине пользователя
делаю на шлюзе NOV# tcpdump -i fxp0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
20:23:12.816458 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 6400, length 40
20:23:13.647081 IP 77.x.x.x.59972 > dns.comcor.ru.domain: 33781+ PTR? 3.134.158.93.in-addr.arpa. (43)
20:23:13.651773 IP dns.comcor.ru.domain > 77.59972: 33781 1/2/2 (148)
20:23:13.652526 IP 77.x.x.x 63757 > dns.comcor.ru.domain: 33782+ PTR? 35.5.168.192.in-addr.arpa. (43)
20:23:13.657156 IP dns.comcor.ru.domain > 77.63757: 33782 ServFail 0/0/0 (43)
20:23:13.657467 IP 77.x.x.x. 49438 > dns.comcor.ru.domain: 33782+ PTR? 35.5.168.192.in-addr.arpa. (43)
20:23:13.662062 IP dns.comcor.ru.domain > 77.49438: 33782 ServFail 0/0/0 (43)
20:23:14.662547 IP 77.x.x.x.50458 > dns.comcor.ru.domain: 33783+ PTR? 3.0.45.212.in-addr.arpa. (4 1)
20:23:14.667599 IP dns.comcor.ru.domain > 77.50458: 33783* 1/2/2 PTR[|domain]
20:23:14.668334 IP 77.x.x.x.64977 > dns.comcor.ru.domain: 33784+ PTR? 213.98.108.77.in-addr.arpa. (44)
20:23:14.674919 IP dns.comcor.ru.domain > 77.64977: 33784 NXDomain* 0/1/0 (98)
20:23:18.316618 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 6656, length 40


20:23:29.317158 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 7168, length 40
20:23:34.817380 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 7424, length 40
20:23:40.317591 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 7680, length 40
20:23:45.817831 IP 192.168.5.35 > www.yandex.ru: ICMP echo request, id 512, seq 7936, length 40

До конца не разберусь с этим, что это дает вроде из этой информации ничего вытащить дельного нельзя.

[buryanov]

20:23:29.317158 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7168, length 40
20:23:34.817380 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7424, length 40
20:23:40.317591 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7680, length 40
20:23:45.817831 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7936, length 40

у вас ната нету, если это смотрится на внешнем интерфейсе

[Spook1680]

20:23:29.317158 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7168, length 40
20:23:34.817380 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7424, length 40
20:23:40.317591 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7680, length 40
20:23:45.817831 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7936, length 40

у вас ната нету, если это смотрится на внешнем интерфейсе

у меня в rc.conf
прописано

fxpo внешний интерфейс

Код: Выделить всё

ifconfig_stge0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_fxp0="inet 77. netmask 255.255.255.248"
defaultrouter="77.108.98.209"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-m -u"
#natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_login="YES"
firewall_type="OPEN"
firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"

rc.firewall
вроде все указал то же в правилах про над.

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="77./28"
oip="77."
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"


##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd log all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd log all from any to ${oip} in via ${oif}

[dikens3]

20:23:29.317158 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7168, length 40
20:23:34.817380 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7424, length 40
20:23:40.317591 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7680, length 40
20:23:45.817831 IP 192.168.5.35 > http://www.yandex.ru: ICMP echo request, id 512, seq 7936, length 40

у вас ната нету, если это смотрится на внешнем интерфейсе

00117 22 1288 allow log logamount 100 icmp from any to any icmptypes 0,3,4,8,11,12
...
...
00500 4440 270457 divert 8668 log logamount 100 ip from 192.168.5.0/24 to any out via fxp0
00510 5990 4561283 divert 8668 log logamount 100 ip from any to 77. in via fxp0

У него для ICMP нат не нужен. :-)

Уважаемый пользователь, внимательно прочитайте мой предыдущий пост про отладку работы ipfw.

В работе tcpdump есть ключ -n (для цифрового выражения) и указание протокола, icmp в вашем случае. Ключ не помню, вроде proto.
Должно получиться что-то типа:

Код: Выделить всё

tcpdump -n -i fxp0 proto icmp

У вас должно всё работать по описанной мной схеме(она выше).
1. Пакет ICMP request должен придти на внутренний интерфейс и быть принятым.
2. NATD должен изменить отправителя
3. Отправка через внешний интерфейс с внешним адресом(IP).

У вас происходит следующее:
1. Пакет ICMP request пришёл на внутренний интерфейс и был принят правилом 117.
2. Пакет ICMP request отправлен через внешний интерфейс правилом 117.
В интернет нет адресов из локальных сетей и ответ вы не получите.

[mediamag]

Загляни в настройки сетевой 7 винды. Иногда, бывает так, что когда прописываешь шлюз, и жмешь "ок", шлюз там стирается (не знаю по какой причине) и приходится заново открывать сетевую и писать шлюз. Согласен с обсуждением выше. По протоколу tcp/ip винда xp и 7 совершенно одинаковая. Единственное отличие что айпи с хр могут быть пущены в инет а с win 7 не пущены.

[zeus4all]

попробуйте в настройках сетевой карты отменить (снять галку) поддержку ip v 6. когда кончатся другие варианты... у меня все время чтото сним не ладное творится.

[Kos]

Вообще это оригинальный подход: пинг не идет ни с хп ни с семерки, но наличие инета проверяется именно пингом.
1 для того чтобы пинг работал не только до шлюза нужно прислушаться к советам товарища dikens3 и поставить правило 117 ПОСЛЕ НАТА
2 Почему вообще возникла идея ковырять настройки шлюза в семерке куча настроек влияющих на наличие или отсутствие инета.

[Spook1680]

Спасибо за помощь.
Все сделал начил с чистого листа, переписал конфиг.
Все пашет.
ДА на виндовс 7 действительно шлюз прописывается два раза, после этого он обычно предлогает выбрать сеть.
Домашняя, Рабочая или Общая.

Огромное спасибо ТИТАМ Freebsd которые откликнулись и навели на путь истинный.

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="7/28"
oip="77."
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -q -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd all from ${inet} to any out via ${oif}
${fwcmd} add 550 divert natd all from any to ${oip} in via ${oif}
#Разрешаем все установленные соединения
${fwcmd} add 600 allow tcp from any to any established
#Разрешаем весь исходящий трафик серверу
${fwcmd} add 650 allow ip from ${oip} to any out xmit ${oif}
#Разрешаем DNS снаружи
${fwcmd} add 700 allow udp from any 53 to any via ${oif}
#Если named
${fwcmd} add 750 allow udp from any to any 53 via ${oif}
#Разрешаем UDP время для синхронизации
${fwcmd} add 800 allow udp from any to any 123 via ${oif}
#FTP
${fwcmd} add 850 allow tcp from any to ${oip} 21 via ${oif}
${fwcmd} add 900 allow tcp from any to ${oip} 49152-65535 via ${oif}
#ICMP
${fwcmd} add 1000 allow icmp from any to any icmptypes 0,8,11
#80 если сервер в нутри сети www
${fwcmd} add 1100 allow tcp from any to ${oip} 80 via ${oif}
#открываем снаружи 22,143,110
${fwcmd} add 1200 allow tcp from any to ${oip} 22 via ${oif}
${fwcmd} add 1300 allow tcp from any to ${oip} 143 via ${oif}
${fwcmd} add 1400 allow tcp from any to ${oip} 110 via ${oif}
#Разрешаем весь tcp в локалке
${fwcmd} add 1500 allow tcp from any to any via ${iif}
${fwcmd} add 1600 allow udp from any to any via ${iif}
${fwcmd} add 1700 allow icmp from any to any via ${iif}
##Все что не пропустилось в лог
#${fwcmd} add 1800 deny log logamount 3000 all from any to any

[dikens3]

###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

Это тоже не верно, порядок имеет значение.

Так правильно:

Код: Выделить всё

##Разрешаем все через lo0
${fwcmd} add allow ip from any to any via lo0
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any

[Spook1680]

###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

Это тоже не верно, порядок имеет значение.

Так правильно:

Код: Выделить всё

##Разрешаем все через lo0
${fwcmd} add allow ip from any to any via lo0
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any

Я делал вот по этой цитате из комента

http://www.lissyara.su/articles/freebsd/tuning/ipfw/

*DEAD*Zmey, 2007-07-25 в 14:20:00

lissyara, спасибо огромное за все те материалы, которые у Вас здесь выложены! На мой взгляд - Мегасайт (по классификации Гоблина )
Многие из статей попробовал, и очень многое выручило.


В строке "# Разрешаем весь траффик по внутреннему интерфейсу (петле)"
${FwCMD} add allow ip from any to any via lo0
разрешаем всё через lo0, или, что тоже самое
${FwCMD} add allow all from any to any via lo0
далее
# Вводим запреты:
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? )
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

Мы уже разрешили ВЕСЬ трафик, в первом правиле, так что "Запреты" наверное можно убрать? Ну и соответственно потому и "не рубится". Или я не прав?

lissyara, 2007-07-25 в 14:29:03

Прав. Надо правила местами поменять

Я изходя из этого правила и изменил.