Левые мак адреса

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-01-28 14:04:34

hranitel_y2k писал(а):Вертиться в голове мысль,но не знаю как вам это проверить (может более опытные люди подскажут?), что некоторые пакеты передаются от вас к прову напрямую, т.е, вместо ната, отрабатывает маршрутизация (ведь фаир открытый).
И я тоже так думал. Склоняюсь больше всего к этой мысли!
У Шамана три руки!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-01-28 14:08:01

fox писал(а): Что то в этом есть у автора divert не правельный нельзя писать all не красиво надо было писать вот так было:

Код: Выделить всё

${fwcmd} add 200 divert natd all from any to any via sk0 in
а я бы:

Код: Выделить всё

${fwcmd} add 200 divert natd ip4 from any to any via sk0 in
И не any to any а статю прочесть надо бы:
http://www.lissyara.su/articles/freebsd/tuning/ipfw/
Спасибо за ссылку. Эту статью тоже одну из первых как только запостил прочитал.
Сейчас сделал еще несколько правок, "подлизал" правила и в конце теперь

Код: Выделить всё

deny ip from any to any
И явно добавил правило

Код: Выделить всё

${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
Пока буду наблюдать. :"":
У Шамана три руки!!!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-01-28 16:39:43

:st: Не долго я понаблюдал. Уже два раза Инет пропадал, при этом слушал arp ничего не обычного не происходило.

Вот новые правила ipfw:

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

# local nets table;
${fwcmd} table 10 flush
${fwcmd} table 10 add 192.168.101.0/24
${fwcmd} table 10 add 192.168.102.0/24
${fwcmd} table 10 add 192.168.110.0/24
${fwcmd} table 10 add 192.168.104.0/24

# out local ips table;
${fwcmd} table 20 flush
${fwcmd} table 20 add 212.109.39.186
${fwcmd} table 20 add 94.45.58.202
${fwcmd} table 20 add 80.245.120.146
${fwcmd} table 20 add 195.60.71.102
${fwcmd} table 20 add 82.207.121.43
${fwcmd} table 20 add 213.227.208.183
${fwcmd} table 20 add 80.78.41.22
${fwcmd} table 20 add 195.225.144.23
${fwcmd} table 20 add 212.90.161.202
${fwcmd} table 20 add 83.238.96.145
${fwcmd} table 20 add 193.138.187.3
${fwcmd} table 20 add 213.154.220.60
${fwcmd} table 20 add 93.127.99.69
${fwcmd} table 20 add 82.207.42.115
${fwcmd} table 20 add 93.127.17.137
${fwcmd} table 20 add 217.24.168.26
${fwcmd} table 20 add 77.222.148.50
${fwcmd} table 20 add 85.198.139.2
${fwcmd} table 20 add 213.227.206.142
${fwcmd} table 20 add 212.109.39.186
${fwcmd} table 20 add 212.109.39.187
${fwcmd} table 20 add 212.109.39.188
${fwcmd} table 20 add 212.109.39.189
${fwcmd} table 20 add 212.109.39.190
${fwcmd} table 20 add 93.127.101.123
${fwcmd} table 20 add 195.64.225.100
${fwcmd} table 20 add 172.23.130.10
${fwcmd} table 20 add 80.91.190.251
${fwcmd} table 20 add 213.154.200.77
${fwcmd} table 20 add 17.149.36.86
${fwcmd} table 20 add 213.227.217.202
${fwcmd} table 20 add 62.80.162.254
${fwcmd} table 20 add 212.3.107.242
${fwcmd} table 20 add 212.109.45.77
${fwcmd} table 20 add 85.238.96.145
${fwcmd} table 20 add 178.209.64.30
${fwcmd} table 20 add 212.109.45.78

# local ip access to 102/24 subnet;
${fwcmd} table 30 flush
${fwcmd} table 30 add 192.168.102.200
${fwcmd} table 30 add 192.168.102.21
${fwcmd} table 30 add 192.168.102.70
${fwcmd} table 30 add 192.168.102.40
${fwcmd} table 30 add 192.168.102.28
${fwcmd} table 30 add 192.168.102.24
${fwcmd} table 30 add 192.168.102.50
${fwcmd} table 30 add 192.168.102.17
${fwcmd} table 30 add 192.168.102.35

# all subnet except 101/24;
${fwcmd} table 40 flush
${fwcmd} table 40 add 192.168.102.0/24
${fwcmd} table 40 add 192.168.104.0/24
${fwcmd} table 40 add 192.168.110.0/24

# local deny;
${fwcmd} table 50 flush
${fwcmd} table 50 add 10.0.0.0/8
${fwcmd} table 50 add 172.16.0.0/12
${fwcmd} table 50 add 192.168.0.0/16
${fwcmd} table 50 add 0.0.0.0/8
${fwcmd} table 50 add 169.254.0.0/16
${fwcmd} table 50 add 240.0.0.0/4

# allow loopback for sockets;
${fwcmd} add 90 allow ip from any to any via lo0
${fwcmd} add 91 deny ip from any to 127.0.0.0/8
${fwcmd} add 92 deny ip from 127.0.0.0/8 to any

# deny;
${fwcmd} add 150 deny ip from any to table\(50\) in via sk0
${fwcmd} add 160 deny icmp from any to any frag
${fwcmd} add 170 deny log icmp from any to 255.255.255.255 in via sk0
${fwcmd} add 180 deny log icmp from any to 255.255.255.255 out via sk0

# local access;
${fwcmd} add 200 allow ip from table\(30\) to 192.168.101.0/24
${fwcmd} add 210 allow tcp from table\(30\) to 192.168.101.0/24
${fwcmd} add 220 allow tcp from 192.168.101.0/24 to table\(30\)
${fwcmd} add 230 allow ip from 192.168.101.0/24 to table\(30\)
${fwcmd} add 240 allow ip from 192.168.102.0/24 to 192.168.101.23
${fwcmd} add 250 allow ip from 192.168.101.23 to 192.168.102.0/24
# deny to 101/24 subnet;
${fwcmd} add 260 deny ip from table\(40\) to 192.168.101.0/24
${fwcmd} add 270 deny ip from 192.168.101.0/24 to table\(40\)
# allow to other subnet;
${fwcmd} add 280 allow ip from table\(40\) to 192.168.102.0/24
${fwcmd} add 290 allow ip from 192.168.102.0/24 to table\(40\)
${fwcmd} add 300 allow ip from table\(40\) to 192.168.104.0/24
${fwcmd} add 340 allow ip from 192.168.104.0/24 to table\(40\)
${fwcmd} add 350 allow ip from table\(40\) to 192.168.110.0/24
${fwcmd} add 360 allow ip from 192.168.110.0/24 to table\(40\)

# divert and hide our local ips with nat;
#${fwcmd} add 500 divert natd all from any to any via sk0 in
#${fwcmd} add 510 divert natd ip from table\(10\) to any out via sk0
${fwcmd} add 520 divert natd ip from any to 213.108.73.213 in via sk0

# divert icpms with nat;
${fwcmd} add 530 divert natd icmp from table\(10\) to any

# deny local;
#${fwcmd} add 540 deny ip from table\(50\) to any out via sk0
#${fwcmd} add 550 deny ip from 224.0.0.0/4 to any out via sk0

# divert news.ntu-kpi.kiev.ua with nat;
${fwcmd} add 560 divert natd tcp from table\(10\) to 77.47.128.140 dst-port 119 via sk0 out
# divert allow pop3;
${fwcmd} add 570 divert natd tcp from table\(10\) to any dst-port 110 via sk0 out

# redirecting ports out;
${fwcmd} add 580 divert natd tcp from 192.168.101.222 8050,3389 to any via sk0 out
# klo kerio vpn client;
${fwcmd} add 590 divert natd tcp from table\(10\) to any 4090 via sk0 out
${fwcmd} add 600 divert natd udp from table\(10\) to any 4090 via sk0 out
# other;
${fwcmd} add 610 divert natd tcp from 192.168.101.150 9998 to any via sk0 out
# rdp access to 1c servers;
${fwcmd} add 620 divert natd tcp from 192.168.104.33 3389 to any via sk0 out
${fwcmd} add 630 divert natd tcp from 192.168.102.70 3389,3390,8192,8193,11112 to any via sk0 out
${fwcmd} add 640 divert natd tcp from 192.168.101.3 3389,7777,8888 to any via sk0 out
${fwcmd} add 650 divert natd tcp from 192.168.102.28 8070,8071,8072 to any via sk0 out
# test host;
#${fwcmd} add 660 divert natd tcp from 192.168.102.200 to any 80,21,443 via sk0 out
${fwcmd} add 670 divert natd tcp from 192.168.102.125 to any 80,21,443 via sk0 out

# vnedrenci out to AZS;
${fwcmd} add 680 divert natd ip from 192.168.101.3 to any 3389,3390 via sk0 out
# nat to out ip - test servers, NGC, etc.;
${fwcmd} add 690 divert natd ip from table\(10\) to table\(20\) via sk0 out

# deny local;
${fwcmd} add 700 deny ip from table\(50\) to any out via sk0
${fwcmd} add 710 deny ip from 224.0.0.0/4 to any out via sk0

# allow vpn to LukOil and other servers;
${fwcmd} add 720 allow gre from any to any
${fwcmd} add 730 allow gre from any to any via sk0
${fwcmd} add 740 allow gre from any to any via msk0
${fwcmd} add 750 allow gre from any to any via re0
${fwcmd} add 760 allow gre from any to any via sk1

# if any connection pass all rules;
${fwcmd} add 765 allow ip from any to any established

# server out;
${fwcmd} add 766 allow ip from 213.108.73.213 to any out xmit sk0
${fwcmd} add 767 allow icmp from any to any

# open only known ports; other ports will be droped by router;
${fwcmd} add 770 allow ip from any 20,21,47,51,1494,1723,186,3390 to any via sk0 in
${fwcmd} add 780 allow ip from any 80,20,25,53,110,119,123,143,443,465,587,995,1494,1723,1782,3390,3389,8194 to any via sk0
${fwcmd} add 790 allow ip from any to me dst-port 20,21,25,47,53,80,110,123,222,443,1723,1863,3310,3389,3390,8194 via sk0

${fwcmd} add 800 allow ip from any to 192.168.102.0/24 via re0 out
${fwcmd} add 810 allow ip from 192.168.102.0/24 to any via re0 in
${fwcmd} add 820 allow ip from any to 192.168.101.0/24 via msk0 out
${fwcmd} add 830 allow ip from 192.168.101.0/24 to any via msk0 in
${fwcmd} add 840 allow ip from any to 192.168.110.0/24 via sk1 out
${fwcmd} add 850 allow ip from 192.168.110.0/24 to any via sk1 in
${fwcmd} add 860 allow ip from any to 192.168.104.0/24 via sk1 out
${fwcmd} add 870 allow ip from 192.168.104.0/24 to any via sk1 in
${fwcmd} add 880 allow ip from any to 213.108.73.208/28 via sk0 out
${fwcmd} add 890 allow ip from 213.108.73.208/28 to any via sk0 in

# construction ports;
${fwcmd} add 900 allow ip from any to any 3389,3390,8192,8193,8070,8071,8072,9998,11112,22201,22202,8194 via sk0 in

${fwcmd} add 65000 deny ip from any to any 
Может правда виновата фря:

Код: Выделить всё

FreeBSD astral.nd.ua 8.1-RC2 FreeBSD 8.1-RC2 #5: Sat Jul  3 01:00:18 EEST 2010     digital_punk@astral.nd.ua:/usr/obj/usr/src/sys/FTTB1  amd64
P.S.: замечено пропадание Инета, к примеру, когда что-то качаешь с Инета, например с сайта ex.ua. :roll:
У Шамана три руки!!!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-01-30 0:44:35

Не только арп надо слушать,а весь трафик на интерфейсе. Надо найти пакет который проскакивает из вашей локалки на внешку, без попадания на нат.

Я не хочу вас обидеть, но грубо говоря, у вас большие проблемы с конфигом ipfw и вам его еще "лизать и лизать" :pardon: (вы сами употребили это слово).
К примеру:

Код: Выделить всё

${fwcmd} add 810 allow ip from 192.168.102.0/24 to any via re0 in

Код: Выделить всё

распишем в следующий набор правил:

1. {fwcmd} add allow  ip from {MyLan} to any in via {iif}
2. {fwcmd} add allow  ip from {MyLan} to any out via {iif}
3. {fwcmd} add allow  ip from {MyLan} to  any out via {oif}
4. {fwcmd} add allow  ip from {MyLan}  to any in via {oif}

Правило №1 - мы разрешаем обращение от любого хоста внутренней сети на [b]любой xoст любой сети[/b] через внутренний интерфейс
Взято отсюда: http://www.lissyara.su/articles/freebsd ... bout_ipfw/
Уважаемый, пожалуйста, читайте статьи и маны, а главное постарайтесь понять,что там написано. Благо на этом сайте все необходимое есть.
Все гениальное - просто!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-01-30 0:58:30

забыл сказать почему такие проблемы с 810 правилом - у вас на нат из сетки 192.168.102.0/24 попадают пакеты на только определенные порты. Как следствие любой пакет из сети 192.168.102.0/24 на (с) непрописанный порт проходит мимо ната, а потом попадает на правило 810. И тут отрабатывает маршрутизация и шлюз по умолчанию.
Все гениальное - просто!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-01-31 10:41:06

hranitel_y2k писал(а):Не только арп надо слушать,а весь трафик на интерфейсе. Надо найти пакет который проскакивает из вашей локалки на внешку, без попадания на нат.
Взято отсюда: http://www.lissyara.su/articles/freebsd ... bout_ipfw/
Уважаемый, пожалуйста, читайте статьи и маны, а главное постарайтесь понять,что там написано. Благо на этом сайте все необходимое есть.
Насчет слушать весь трафик - это жестоко, но попытаюсь.

Насчет манов - буду читать и читать до посинения. :sorry:
У Шамана три руки!!!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-01-31 11:18:28

digital_punk писал(а): Насчет слушать весь трафик - это жестоко, но попытаюсь.

Насчет манов - буду читать и читать до посинения. :sorry:
А кроме снифера вариантов нет, выберете время,когда трафик будет минимальным. Например, окончание рабочего дня. Но лучше перепишите конфиг фаера,сразу проще станет...

Просто запомните: все пакеты идущие из ваших внутренних сетей во вне ДОЛЖНЫ попадать НАТ! Потому что ваши сети все серые!
А если вы хотите ограничить доступ по портам или ip, то делайте эти ограничения либо в правилах для внутренней сетки, либо после правил НАТ для всего исходящего трафика. Но не в самих правилах НАТа!

Главное не просто читать,а понять и все получится. Все когда-то начинали ;-)
Все гениальное - просто!

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Re: Левые мак адреса

Непрочитанное сообщение ivan__ » 2011-01-31 11:22:14

Вообще-то ipfw не работает с ARP - это другой уровень и ваш провайдер не должен видеть MAC адреса.
Но например для режима сетевого моста может быть правило

Код: Выделить всё

ipfw add allow udp from 0.0.0.0 2054 to 0.0.0.0
которое пропускает пакеты не IP протокола и ARP нормально будет работать. Так же и запрещающее правило

Код: Выделить всё

ipfw add deny udp from 0.0.0.0 2054 to 0.0.0.0
http://www.mail-archive.com/freebsd-ipf ... 01733.html

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-01-31 11:56:15

ivan__ писал(а):Вообще-то ipfw не работает с ARP - это другой уровень и ваш провайдер не должен видеть MAC адреса.
Но например для режима сетевого моста может быть правило

Код: Выделить всё

ipfw add allow udp from 0.0.0.0 2054 to 0.0.0.0
которое пропускает пакеты не IP протокола и ARP нормально будет работать. Так же и запрещающее правило

Код: Выделить всё

ipfw add deny udp from 0.0.0.0 2054 to 0.0.0.0
http://www.mail-archive.com/freebsd-ipf ... 01733.html
Вопрос в образовательных целях:
Вот тут есть пример arp пакета, как выше приведенное правило поможет? И откуда порт 2054?

http://ru.wikipedia.org/wiki/ARP#.D0.A1 ... 1.82.D0.B0
Все гениальное - просто!

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Re: Левые мак адреса

Непрочитанное сообщение ivan__ » 2011-02-01 10:24:01

hranitel_y2k писал(а):Вопрос в образовательных целях:
Вот тут есть пример arp пакета, как выше приведенное правило поможет? И откуда порт 2054?

http://ru.wikipedia.org/wiki/ARP#.D0.A1 ... 1.82.D0.B0
google

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-01 16:10:35

После нескольких дней чтения мануалов глазки разбегались и голова стала пухнуть.
Но все-таки не без помощи вышеприведенных статей написал свой фаер. :oops:

И по мере буду его дорабатывать. Наблюдать за инетом тоже буду. Через какое-то время отпишусь, но для всех остальных у кого будет схожая проблема - 100% неверно сконфигурирован ifpw+natd. Читать маны до просветления. :roll:
У Шамана три руки!!!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-02 15:12:22

Тему можно закрывать. Сегодня звонил прову - он сказал, что кроме моего мака и его роутера больше ничего не видит. Инет не падает. :smile:
Всем спасибо за наставление на путь истинный. :oops:
У Шамана три руки!!!

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Re: Левые мак адреса

Непрочитанное сообщение ivan__ » 2011-02-02 16:30:49

Так а чего ты сделал-то?

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-02 16:48:14

ivan__ писал(а):Так а чего ты сделал-то?
Прочитал статью
http://www.lissyara.su/articles/freebsd ... bout_ipfw/
ВДУМЧИВО несколько раз.

И понял, что у меня в правилах присутствовали записи типа

Код: Выделить всё

allow from any to any
Я, с учетом этой статьи, переписал более правильно. Как там и было сказано: по возможности расписал, что на какой интерфейс входит и выходит.
И еще у меня было правильно которое разрешало вход/выход на внешней сетевухе, а на внутренние не шло, ибо не прописаны правила были.
Это все прописал и в конце поставил:

Код: Выделить всё

deny from any to any
Кто желает могу выложить конфиг ipfw в студию. :oops:
У Шамана три руки!!!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 15:44:22

Не долгой была моя радость... :(

Инет все так же пропадает, только теперь уже и руки опускаются. Все равно не могу найти причину. :cry: :sorry:
У Шамана три руки!!!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-02-04 15:48:20

digital_punk писал(а):Не долгой была моя радость... :(

Инет все так же пропадает, только теперь уже и руки опускаются. Все равно не могу найти причину. :cry: :sorry:
Начнем с начала.
Ваш окончательный конфиг покажите, пожалуйста.
Все гениальное - просто!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 16:03:44

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

# allow access from loclal subnet to external ip;
${fwcmd} table 10 flush
${fwcmd} table 10 add 212.109.39.186
${fwcmd} table 10 add 94.45.58.202
${fwcmd} table 10 add 80.245.120.146
${fwcmd} table 10 add 195.60.71.102
${fwcmd} table 10 add 82.207.121.43
${fwcmd} table 10 add 213.227.208.183
${fwcmd} table 10 add 80.78.41.22
${fwcmd} table 10 add 195.225.144.23
${fwcmd} table 10 add 212.90.161.202
${fwcmd} table 10 add 83.238.96.145
${fwcmd} table 10 add 193.138.187.3
${fwcmd} table 10 add 213.154.220.60
${fwcmd} table 10 add 93.127.99.69
${fwcmd} table 10 add 82.207.42.115
${fwcmd} table 10 add 93.127.17.137
${fwcmd} table 10 add 217.24.168.26
${fwcmd} table 10 add 77.222.148.50
${fwcmd} table 10 add 85.198.139.2
${fwcmd} table 10 add 213.227.206.142
${fwcmd} table 10 add 212.109.39.186
${fwcmd} table 10 add 212.109.39.187
${fwcmd} table 10 add 212.109.39.188
${fwcmd} table 10 add 212.109.39.189
${fwcmd} table 10 add 212.109.39.190
${fwcmd} table 10 add 93.127.101.123
${fwcmd} table 10 add 195.64.225.100
${fwcmd} table 10 add 172.23.130.10
${fwcmd} table 10 add 80.91.190.251
${fwcmd} table 10 add 213.154.200.77
${fwcmd} table 10 add 17.149.36.86
${fwcmd} table 10 add 213.227.217.202
${fwcmd} table 10 add 62.80.162.254
${fwcmd} table 10 add 212.3.107.242
${fwcmd} table 10 add 212.109.45.77
${fwcmd} table 10 add 85.238.96.145
${fwcmd} table 10 add 178.209.64.30
${fwcmd} table 10 add 212.109.45.78

# local nets;
${fwcmd} table 20 flush
${fwcmd} table 20 add 192.168.102.0/24
${fwcmd} table 20 add 192.168.104.0/24
${fwcmd} table 20 add 192.168.110.0/24

# some ip allow to 101.0/24 subnet;
${fwcmd} table 30 flush
${fwcmd} table 30 add 192.168.102.200
${fwcmd} table 30 add 192.168.102.40
${fwcmd} table 30 add 192.168.102.70
${fwcmd} table 30 add 192.168.102.28
${fwcmd} table 30 add 192.168.102.50
${fwcmd} table 30 add 192.168.102.35

# deny grey ip on out interface;
${fwcmd} table 40 flush
${fwcmd} table 40 add 10.0.0.0/8
${fwcmd} table 40 add 172.16.0.0/12
${fwcmd} table 40 add 192.168.0.0/16
${fwcmd} table 40 add 0.0.0.0/8
${fwcmd} table 40 add 169.254.0.0/16
${fwcmd} table 40 add 240.0.0.0/4

# spoofing deny;
${fwcmd} add 60 deny ip from any to any not verrevpath in
# fragmented deny;
${fwcmd} add 65 deny ip from any to any frag

# allow access via lo0;
${fwcmd} add 90 allow ip from any to any via lo0
${fwcmd} add 91 deny ip from any  to 127.0.0.0/8
${fwcmd} add 92 deny ip from 127.0.0.0/8 to any

# local subnet access/deny;
${fwcmd} add 100 allow ip from table\(30\) to 192.168.101.0/24
${fwcmd} add 110 allow ip from 192.168.101.0/24 to table\(30\)
${fwcmd} add 120 allow ip from table\(20\) to 192.168.101.222
${fwcmd} add 130 allow ip from 192.168.101.222 to table\(20\)
${fwcmd} add 140 allow ip from table\(20\) to 192.168.101.23
${fwcmd} add 150 allow ip from 192.168.101.23 to table\(20\)
${fwcmd} add 160 deny ip from 192.168.101.0/24 to table\(20\)
${fwcmd} add 170 deny ip from table\(20\) to 192.168.101.0/24
${fwcmd} add 180 allow ip from table\(20\) to 192.168.104.0/24
${fwcmd} add 190 allow ip from 192.168.104.0/24 to table\(20\)
${fwcmd} add 200 allow ip from table\(20\) to 192.168.111.0/24
${fwcmd} add 210 allow ip from 192.168.101.0/24 to 192.168.111.0/24
${fwcmd} add 220 allow ip from 192.168.111.0/24 to 192.168.101.0/24
${fwcmd} add 230 allow ip from 192.168.111.0/24 to table\(20\)

# deny grey ip;
${fwcmd} add 240 deny ip from any to table\(40\) in via sk0
${fwcmd} add 250 deny log icmp from any to 255.255.255.255 in via sk0
${fwcmd} add 260 deny log icmp from any to 255.255.255.255 out via sk0

# divert some ports with natd;
${fwcmd} add 300 divert natd tcp from table\(20\) to 77.47.128.140 119 out via sk0
${fwcmd} add 310 divert natd tcp from 192.168.101.0/24 to 77.47.128.140 119 out via sk0
${fwcmd} add 320 divert natd tcp from table\(20\) to any 110,4490 out via sk0
${fwcmd} add 330 divert natd tcp from 192.168.101.0/24 to any 110,4490 out via sk0
${fwcmd} add 340 divert natd udp from table\(20\) to any 4490 out via sk0
${fwcmd} add 350 divert natd udp from 192.168.101.0/24 to any 4490 out via sk0
${fwcmd} add 360 divert natd tcp from 192.168.101.222 8050,3389 to any out via sk0
${fwcmd} add 370 divert natd tcp from 192.168.101.150 9998 to any out via sk0
${fwcmd} add 380 divert natd tcp from 192.168.104.33 3389 to any out via sk0
${fwcmd} add 390 divert natd tcp from 192.168.102.70 3389,8192,8193,11112 to any out via sk0
${fwcmd} add 400 divert natd tcp from 192.168.101.3 3389,7777,8888 to any out via sk0
${fwcmd} add 410 divert natd tcp from 192.168.102.28 8070,8071,8072 to any out via sk0
${fwcmd} add 420 divert natd tcp from 192.168.101.3 to any 3389,3390 out via sk0
${fwcmd} add 430 divert natd tcp from table\(20\) to table\(10\) out via sk0
${fwcmd} add 440 divert natd tcp from 192.168.101.0/24 to table\(10\) out via sk0
${fwcmd} add 450 divert natd gre from table\(20\) to any out via sk0
${fwcmd} add 455 divert natd gre from 192.168.101.0/24 to any out via sk0
${fwcmd} add 460 divert natd tcp from 192.168.102.200 to any 80,21,443 out via sk0
${fwcmd} add 465 divert natd tcp from 192.168.102.125 to any 80,21,443 out via sk0
${fwcmd} add 470 divert natd icmp from table\(40\) to any out via sk0
${fwcmd} add 475 divert natd icmp from 192.168.101.0/24 to any out via sk0
${fwcmd} add 480 divert natd icmp from 192.168.111.0/24 to any out via sk0

${fwcmd} add 500 divert natd ip from any to 213.108.73.213 in via sk0
${fwcmd} add 510 allow ip from 213.108.73.213 to any out via sk0
${fwcmd} add 520 allow ip from any to 213.108.73.213 in via sk0

# deny gery ip;
${fwcmd} add 530 deny ip from table\(40\) to any out via sk0
${fwcmd} add 540 deny ip from 240.0.0.0/4 to any out via sk0

# allow local net to external ip via local interfaces;
${fwcmd} add 600 allow ip from 192.168.102.0/24 to any in via re0
${fwcmd} add 601 allow ip from 192.168.111.0/24 to any in via ng0
${fwcmd} add 605 allow ip from 192.168.101.0/24 to any in via msk0
${fwcmd} add 610 allow ip from 192.168.110.0/24 to any in via sk1
${fwcmd} add 615 allow ip from 192.168.104.0/24 to any in via sk1

#${fwcmd} add 620 allow ip from table\(20\) to any out via sk0
#${fwcmd} add 621 allow gre from table\(20\) to any out via sk0
#${fwcmd} add 622 allow gre from 192.168.101.0/24 to any out via sk0
#${fwcmd} add 623 allow ip from 192.168.111.0/24 to any out via sk0
#${fwcmd} add 625 allow ip from 192.168.101.0/24 to any out via sk0

${fwcmd} add 630 allow ip from any to table\(20\) in via sk0
${fwcmd} add 631 allow gre from any to table\(20\) in via sk0
${fwcmd} add 632 allow gre from any to 192.168.101.0/24 in via sk0
${fwcmd} add 633 allow ip from any to 192.168.111.0/24 in via sk0
${fwcmd} add 635 allow ip from any to 192.168.101.0/24 in via sk0

${fwcmd} add 640 allow ip from any to 192.168.102.0/24 out via re0
${fwcmd} add 645 allow ip from any to 192.168.101.0/24 out via msk0
${fwcmd} add 650 allow ip from any to 192.168.110.0/24 out via sk1
${fwcmd} add 655 allow ip from any to 192.168.104.0/24 out via sk1
${fwcmd} add 660 allow gre from any to 192.168.102.0/24 out via re0
${fwcmd} add 665 allow gre from any to 192.168.101.0/24 out via msk0
${fwcmd} add 670 allow gre from any to 192.168.104.0/24 out via sk1
${fwcmd} add 675 allow gre from any to 192.168.110.0/24 out via sk1
${fwcmd} add 680 allow ip from any to 192.168.111.0/24 out via ng0

${fwcmd} add 65000 deny ip from any to any
У Шамана три руки!!!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 16:07:28

И вдогонку...

Ситуация была только что такая:

1. Выкачивал с ex.ua файлик размером 1,4 ГБ и Инет пропал.
2. Я позвонил прову, чтобы узнать мак, который выбил.
3. Этот мак оказался их роутер :shock:

Моих маков они не нашли (локальных).

У меня лично зародилось две идеи: 1 - squid виноват; 2 - что-то у прова с роутером.
У Шамана три руки!!!

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Левые мак адреса

Непрочитанное сообщение dmtr » 2011-02-04 16:20:26

1. проблема - на порту к которомы вы подключены на роутере прова каким-то образом "проскакивают" MAC-адреса из вашей локалки и сетевух шлюза которые не смотрят в тот роутер. так?

2. эта, а я правильно понимаю, что MAC-адреса сами по себе не рассылаются, на этом уровне не инициируется сетевое взаимодействие => должны быть ip пакеты. нада бы их поймать.

например

Код: Выделить всё

tcpdump -i sk0 dst not YOUR-IP-on-sk0 and src not YOUR-IP-on-sk0
или что-нить подобное

должны быть ip пакеты которые дадут понять, что "проскакивет" на роутере (а может пров скажет что это?)

и эта, что бы ни было "у прова с роутером" - каковы шансы угадать несколько ваших MAC-ов? )))
This game has no name. It will never be the same.

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 16:26:20

dmtr писал(а):1. проблема - на порту к которомы вы подключены на роутере прова каким-то образом "проскакивают" MAC-адреса из вашей локалки и сетевух шлюза которые не смотрят в тот роутер. так?
да.

dmtr писал(а):2. эта, а я правильно понимаю, что MAC-адреса сами по себе не рассылаются, на этом уровне не инициируется сетевое взаимодействие => должны быть ip пакеты. нада бы их поймать.

например

Код: Выделить всё

tcpdump -i sk0 dst not YOUR-IP-on-sk0 and src not YOUR-IP-on-sk0
или что-нить подобное

должны быть ip пакеты которые дадут понять, что "проскакивет" на роутере (а может пров скажет что это?)

и эта, что бы ни было "у прова с роутером" - каковы шансы угадать несколько ваших MAC-ов? )))
в каком плане "угадать?"
У Шамана три руки!!!

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Левые мак адреса

Непрочитанное сообщение dmtr » 2011-02-04 16:28:37

в каком плане "угадать?"
я имел ввиду, что роутер прова не смог бы вытащить из arp-таблицы вашего шлюза маки, что если он вам их назвал, значит они действительно дошли до роутера.
This game has no name. It will never be the same.

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-02-04 16:42:23

digital_punk писал(а):И вдогонку...

Ситуация была только что такая:

1. Выкачивал с ex.ua файлик размером 1,4 ГБ и Инет пропал.
2. Я позвонил прову, чтобы узнать мак, который выбил.
3. Этот мак оказался их роутер :shock:

Моих маков они не нашли (локальных).

У меня лично зародилось две идеи: 1 - squid виноват; 2 - что-то у прова с роутером.
Правила посмотрел, ошибок с прямым проходом, как это было раньше не вижу. Прохождение icmp пакетов проверьте - правила местами дублируются, да и не все типы icmp вам нужны.
Squid не может быть виноват - он получает пакет из локалки, а дальше работает от имени сервера на котором установлен.
Все гениальное - просто!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 17:15:00

hranitel_y2k писал(а): Прохождение icmp пакетов проверьте - правила местами дублируются, да и не все типы icmp вам нужны.
Согласен, что не все icmp нужны. А насчет правил - там их всего три, для локальных подсетей.

Посмотрел tcpdump'ом - ничего необычного.
У Шамана три руки!!!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: Левые мак адреса

Непрочитанное сообщение hranitel_y2k » 2011-02-04 17:32:33

digital_punk писал(а):
hranitel_y2k писал(а): Прохождение icmp пакетов проверьте - правила местами дублируются, да и не все типы icmp вам нужны.
Согласен, что не все icmp нужны. А насчет правил - там их всего три, для локальных подсетей.
Да, 3, но 470 поглощает 475 и 480. Да и в таблице 40 много чего лишнего...

Код: Выделить всё

${fwcmd} add 470 divert natd icmp from table\(40\) to any out via sk0
${fwcmd} add 475 divert natd icmp from 192.168.101.0/24 to any out via sk0
${fwcmd} add 480 divert natd icmp from 192.168.111.0/24 to any out via sk0
На всякий случай, пропишите все необходимы icmp,а остальные заблокируйте. Из-за них тоже могут быть проблемы.
Все гениальное - просто!

Аватара пользователя
digital_punk
мл. сержант
Сообщения: 143
Зарегистрирован: 2010-07-02 11:40:24

Re: Левые мак адреса

Непрочитанное сообщение digital_punk » 2011-02-04 17:39:27

hranitel_y2k писал(а): Да и в таблице 40 много чего лишнего...

Код: Выделить всё

${fwcmd} add 470 divert natd icmp from table\(40\) to any out via sk0
${fwcmd} add 475 divert natd icmp from 192.168.101.0/24 to any out via sk0
${fwcmd} add 480 divert natd icmp from 192.168.111.0/24 to any out via sk0
ой. там должно было быть так:

Код: Выделить всё

${fwcmd} add 470 divert natd icmp from table\(20\) to any out via sk0
${fwcmd} add 475 divert natd icmp from 192.168.101.0/24 to any out via sk0
${fwcmd} add 480 divert natd icmp from 192.168.111.0/24 to any out via sk0
Спасибо. Слона не увидел.
hranitel_y2k писал(а):На всякий случай, пропишите все необходимы icmp,а остальные заблокируйте. Из-за них тоже могут быть проблемы.
Только что пофиксил и это:

Код: Выделить всё

${fwcmd} add 470 divert natd icmp from table\(20\) to any out via sk0 icmptype 0,3,4,8,11,12
${fwcmd} add 475 divert natd icmp from 192.168.101.0/24 to any out via sk0 icmptype 0,3,4,8,11,12
${fwcmd} add 480 divert natd icmp from 192.168.111.0/24 to any out via sk0 icmptype 0,3,4,8,11,12
У Шамана три руки!!!