IPFW - web traffik КУДА ИДЕТ?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Turbo
сержант
Сообщения: 166
Зарегистрирован: 2007-08-11 12:17:38
Откуда: Киев
Контактная информация:

IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Turbo » 2007-08-23 6:20:31

может хоть один юзер пролезть мимо прокси в интернет?

если да то как перенаправить ВЕСЬ ВЭБ-трафик на порт сквида (3128)

пока не гуглил, но интересно что за зверь "allow ip from me" и как этот "me" назначается?

есть такой сет правил

Код: Выделить всё

server# ipfw list
00010 allow ip from any to me dst-port 53
00020 allow ip from me 53 to any
00100 allow ip from 192.168.0.0/24 to me
00200 allow ip from me to 192.168.0.0/24
00300 allow ip from 192.168.0.2 to 192.168.0.1
00400 allow ip from 192.168.0.1 to 192.168.0.2
00500 allow ip from me to any keep-state
00600 deny icmp from any to any frag
00700 allow icmp from any to any
00800 allow tcp from any to any dst-port 443
00900 allow tcp from any 443 to any
01000 allow tcp from any to any dst-port 22
01100 allow tcp from any 22 to any
01200 allow tcp from any to any dst-port 25,110
01300 allow tcp from any 25,110 to any
01400 allow ip from 192.168.0.0/24 to me
01500 allow ip from me to 192.168.0.0/24
01600 deny ip from any to me dst-port 80
01700 allow ip from 192.168.0.2 to 192.168.0.1
01800 allow ip from 192.168.0.1 to 192.168.0.2
01900 allow ip from me to any keep-state
02000 deny icmp from any to any frag
02100 allow icmp from any to any
02200 allow tcp from any to any dst-port 443
02300 allow tcp from any 443 to any
02400 allow tcp from any to any dst-port 22
02500 allow tcp from any 22 to any
02600 allow tcp from any to any dst-port 25,110
02700 allow tcp from any 25,110 to any
02800 allow udp from any to any dst-port 53
02900 allow udp from any 53 to any
03000 deny ip from any to any
65535 deny ip from any to any
Умное выражение лица – это еще не признак ума (Г. Горин)
мой сайт http://www.allwork.kiev.ua/

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35035
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Alex Keda » 2007-08-23 7:49:09

me - все адреса локальной машины
Убей их всех! Бог потом рассортирует...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение schizoid » 2007-08-23 8:15:42

если да то как перенаправить ВЕСЬ ВЭБ-трафик на порт сквида (3128)

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via fxp0
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Turbo
сержант
Сообщения: 166
Зарегистрирован: 2007-08-11 12:17:38
Откуда: Киев
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Turbo » 2007-08-23 9:11:04

schizoid писал(а):

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via fxp0
а как написать ему чтото вроде deny from 192.168.0.55 web-ports :) так чтобы оно меня поняло :)

пока что почти полный ноль на линухе c iptables вроде получалось а тут БСДя :?
Умное выражение лица – это еще не признак ума (Г. Горин)
мой сайт http://www.allwork.kiev.ua/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение schizoid » 2007-08-23 9:42:26

Код: Выделить всё

deny tcp from 192.168.0.55 to any 80 via внешняя_сетевушка
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение -cat- » 2007-08-23 13:35:41

Поскольку правил с divert нет, а как известно серые IP в инете не маршрутизируются и не резольвятся, то пользователи кроме как через прокси выхода в инет не будут иметь

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение -cat- » 2007-08-23 13:40:07

В догонку зачем дублирование 500 и 1900? зачем keep-state если нет check-state?

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение BigBrother » 2007-08-23 18:42:58

Такой вопрос. На сервере работает proftpd сервер. Настроен анонимный доступ. Хочу разрешить пользование фтп для локалки с помощью ipfw.
Делаю:

Код: Выделить всё

ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
Пробую делать конект из локальной сети, конекта нету. Смотрю ipfw show вижу что по 1му правилу пакеты проходят. Если ввести

Код: Выделить всё

ipfw -q add allow tcp from me to 10.10.10.0/24 out via lnc0
тогда конект есть, но до конца на сервер так войти не могу, заканчивается это

Код: Выделить всё

Error:	Transfer channel can't be opened. Reason: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Error:	Could not retrieve directory listing
Как мне организовать правила для фтп сервере с максимальной безопасностью? Или где про это почитать?
И ещё такой вопрос, если я делаю два правила с одним и тем же номером, как в этом случае фаерволл себя ведет?

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение -cat- » 2007-08-23 21:29:23

BigBrother писал(а):Такой вопрос. На сервере работает proftpd сервер. Настроен анонимный доступ. Хочу разрешить пользование фтп для локалки с помощью ipfw.
Делаю:

Код: Выделить всё

ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
Пробую делать конект из локальной сети, конекта нету. Смотрю ipfw show вижу что по 1му правилу пакеты проходят. Если ввести

Код: Выделить всё

ipfw -q add allow tcp from me to 10.10.10.0/24 out via lnc0
тогда конект есть, но до конца на сервер так войти не могу, заканчивается это

Код: Выделить всё

Error:	Transfer channel can't be opened. Reason: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Error:	Could not retrieve directory listing
Как мне организовать правила для фтп сервере с максимальной безопасностью? Или где про это почитать?
И ещё такой вопрос, если я делаю два правила с одним и тем же номером, как в этом случае фаерволл себя ведет?
1. На сайте "Лиса" есть подробная инструкция как настроить
2. ipfw -q add 2 allow tcp from me 21,20 to 10.10.10.0/24 out via lnc0 это правило для активного режима FTP, а стандартный windows клиент по умолчанию работает в пассивном, к тому же если стоит файервал на windows активный режим работать скорее всго не будет.
3. Error: Transfer channel can't be opened. - говорит о том что не открыт канал передачи, т. е. в firewall должны быть открыты для TCP соединения порты (имеется в виду пассивный режим) какие точно зависит от системы что-то вроде 49150-65535, в proftp есть директива для назначения этих портов, правда кажется что у меня она не работала, в любом случае смотри сайт, там все разжевано.
3. Ftp сам по себе не безопасен, не говоря уже об анонимном доступе. К томе же о бесопастности лучше заботится с наружи а не изнутри.
Последний раз редактировалось -cat- 2007-08-24 8:21:40, всего редактировалось 3 раза.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение -cat- » 2007-08-23 21:32:14

В догонку по поводу правил с одним номером: все будет работать, а вообще попробуй и увидишь что происходит.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение dikens3 » 2007-08-23 22:34:10

-cat- писал(а):В догонку по поводу правил с одним номером: все будет работать, а вообще попробуй и увидишь что происходит.
Точно будет работать под одним номером, но при удалении
ipfw del 1000 к примеру удалит все правила с номером 1000.

Код: Выделить всё

ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
Почитать бы тебе как работает FTP, для активного можно сделать примерно следующее.(Подсказка такая :- )

Код: Выделить всё

ipfw -q add 2 allow tcp from me 20 to 10.10.10.0/24 1024-65535 out via lnc0 -это типа для ответа
P.S. Чтобы разобраться используй действие log (ipfw deny log .... ), там понятно будет что блокируется и как работает. :-) Удачи.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Turbo
сержант
Сообщения: 166
Зарегистрирован: 2007-08-11 12:17:38
Откуда: Киев
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Turbo » 2007-09-29 18:58:56

а вот вопрос возник - надо перекинуть порт (например порт1111) с интернет сетевухи (inetSET) на тот-же порт у 10.100.7.41 (порт 1111) через 10,100,7,1
Схемка:
=><inet:1111>(serv)<10.100.7.1><=><10.100.7.41:1111>
Умное выражение лица – это еще не признак ума (Г. Горин)
мой сайт http://www.allwork.kiev.ua/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35035
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Alex Keda » 2007-09-29 20:20:49

непонял
и вообще - заводите отдельные темы для отдельных вопросов...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение dikens3 » 2007-09-29 20:30:03

а вот вопрос возник - надо перекинуть порт (например порт1111) с интернет сетевухи (inetSET) на тот-же порт у 10.100.7.41 (порт 1111) через 10,100,7,1
Схемка:
=><inet:1111>(serv)<10.100.7.1><=><10.100.7.41:1111>
Вопросы:

Код: Выделить всё

10.100.7.41
и
<inet:1111>(serv)
На одном компе? Сервере?
Т.е. inet - внешний, а 10.100.7.41 внутренний IP-Адрес?

Если да - стандартно через natd или ipnat.
Если нет, тогда тебе уже в раздел маршрутизации:
1. На сервере выполняем ping 10,100,7,1 и смотрим как пингуется?
2. После выполнения П.1 через NATD или ipnat.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Turbo
сержант
Сообщения: 166
Зарегистрирован: 2007-08-11 12:17:38
Откуда: Киев
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Turbo » 2007-09-29 23:18:40

Код: Выделить всё

(я стучусь отсюда)=>
=>{<inet:3389>(serv сервак с двумя интерфейсами)<10.100.7.1 ><=>
<=><10.100.7.41 мне сюда надо достучаться порт 3389>}
хочу увидеть рабочий стол сервера wiindows 2003между мной и ним - FreeBSD сервачек
Умное выражение лица – это еще не признак ума (Г. Горин)
мой сайт http://www.allwork.kiev.ua/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35035
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW - web traffik КУДА ИДЕТ?

Непрочитанное сообщение Alex Keda » 2007-09-30 0:03:39

http://www.lissyara.su/?id=1372
никто не запрещает сделать такое с локальной машины на винде на удалённую БСД.
и будешь коннектится на локалхост по RDP
Убей их всех! Бог потом рассортирует...