Подробное руководство по ipfw nat

[mak_v_]

vadim64, учил-учил меня....а к 4-му десятку все никак не научусь слеши лепить :-)
Но установки ББ не деют отредактировать по прошествии......

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

ну согласитесь, форматированные сообщения удобнее смотреть
информативнее чтоли они...

[mak_v_]

Не спорю, но запостил и закрыл на автомате, а сейчас уж возможность редактировать отсутствует

[mr.yaky]

покажите сам конфиг фаервола, я же не вижу что там у вас за опции ната

в первом моем сообщении вылаживал также

Код: Выделить всё

# ipfw nat show config
ipfw nat 2 config log same_ports redirect_addr 192.0.172.2 203.0.113.19
ipfw nat 1 config if bce0 log deny_in same_ports reset \
redirect_port tcp 192.0.2.110:35300 35300

[vadim64]

покажите, пожалуйста, как выглядит вывод ipfw show, если вы ставите правила второго экземпляра ната раньше первого

[nashvill]

Прошу совета:
Нужно натить очень приличную пачку серых блоков в паблики.
Сейчас используется PF который не устраивает тем, что однопоточный, однако умеет одной строчкой натить много-много серых в один блок пабликов.
В случае с ipfw nat можно натить только в один IP, при необходимости натить в несколько (запустив по отдельному инстансу под каждый паблик) - такой вариант сильно увеличивает количество строк (правил) в ipfw, что приводит к большой деградации производительности (на синтетических тестах при 254х nat instances я получил почти пятикратное падение производительности).
Вопрос - есть ли пути решения данной проблемы? Либо какое приемлимое количество юзверей можно натить в один IP без возникновения у них проблем?
Пока у меня появилась лишь мысль генерить "дерево" за счет пачки skipto, но мне это кажется все же не совсем удачным решением.

[nashvill]

Собственно solved.
Применение tablearg к nat решило проблему.

Впрочем, теперь возникла другая странность - достаточно высокая нагрузка по прерываниям для на мой взгляд не столь большого трафика.
У кого-нибудь есть удачный опыт тюнинга ix (ixgbe) карточек ?

[vadim64]

Собственно solved.
Применение tablearg к nat решило проблему.

Впрочем, теперь возникла другая странность - достаточно высокая нагрузка по прерываниям для на мой взгляд не столь большого трафика.
У кого-нибудь есть удачный опыт тюнинга ix (ixgbe) карточек ?

поделитесь, как именно вы реализовали с помощью tablearg

[nashvill]

Собственно solved.
Применение tablearg к nat решило проблему.

Впрочем, теперь возникла другая странность - достаточно высокая нагрузка по прерываниям для на мой взгляд не столь большого трафика.
У кого-нибудь есть удачный опыт тюнинга ix (ixgbe) карточек ?

поделитесь, как именно вы реализовали с помощью tablearg

Принцип:
Создаем две таблицы, в первую мы добавляем блок серых и номер ната в который будем натить, а во вторую добавляем белый IP в который мы натим и номер ната.
таким образом блок серых и один паблик ссылаются на один и тот же NAT instance.

На деле:
ipfw table 1 add 192.168.0.0/24 1
ipfw table 1 add 192.168.1.0/24 2
ipfw table 1 add 192.168.2.0/24 3
ipfw table 2 add a.b.c.1/32 1
ipfw table 2 add a.b.c.2/32 2
ipfw table 2 add a.b.c.3/32 3

получаем 192.168.0.0/24 натится в a.b.c.1, 192.168.1.0/24 натится в a.b.c.2 и т.п.

сами правила описываем в ipfw так:

ipfw add 100 nat tablearg ip from table(1) to any out xmit ${ext}
ipfw add 200 nat tablearg ip from any to table(2) in recv ${ext}

[pom]

Нужна помощь в решении проблемы с клиентом Windows 7 выходящим в интернет через freebsd ipfw nat. Четко локализовать проблему не могу. Проявляется в отсутствии на компе с Windows 7 доступа к ресурсам интернета работающим через ipfw nat (аська, дропбокс, почта и т.п.), при этом сайты доступны (прозрачное проксирование). Проявляется обычно после перезагрузки клиента, но не всегда! То есть может работать нормально несколько перезагрузок, а может и на работающем выходные компе в понедельник обнаружиться. Лечится обычно сменой айпи на другой, но опять таки не всегда помогает, иногда просто проходит само через время. Пока выглядит как порча.

[pom]

Вдогонку:
Клиенты на вин ХР и линуксе работают абсолютно нормально.
Роутер на FreeBSD 8.2, pppoe поднимается mpd5, правила ipfw ниже:

Код: Выделить всё

fw="/sbin/ipfw -q add"
mx="{ xxx or xxx }"
/sbin/ipfw -q -f flush

$fw 10 pass all from any to any via lo0
$fw 20 deny all from any to 127.0.0.0/8
$fw 30 deny ip from 127.0.0.0/8 to any

$fw 90 allow all from any to any via rl1

$fw 100 deny all from any to 0.0.0.0/8 via ng0
$fw 110 deny all from any to 169.254.0.0/16 via ng0
$fw 120 deny all from any to 192.0.2.0/24 via ng0
$fw 130 deny all from any to 224.0.0.0/4 via ng0
$fw 140 deny all from any to 240.0.0.0/4 via ng0

$fw 150 skipto 300 all from 192.168.10.247 to any
$fw 160 skipto 300 all from 192.168.10.0/24 to 192.168.20.0/24
$fw 170 skipto 300 all from 192.168.20.0/24 to 192.168.10.0/24
$fw 180 skipto 300 all from ${mx} 25 to 192.168.10.0/24
$fw 190 skipto 300 all from 192.168.10.0/24 to ${mx} 25
$fw 200 skipto 300 all from ${mx} 25 to 192.168.100.0/24
$fw 210 skipto 300 all from 192.168.100.0/24 to ${mx} 25
$fw 220 deny all from any to any 25,135-139,445
$fw 230 skipto 300 all from any 20,21,22,80,222,123,110,443,465,995,5190-5193,2042,3128,2121,1723,3389,3379,3398,3390,3590,8291,8000,4499,15178,5577 to 192.168.10.0/24 via ng0
$fw 240 skipto 300 all from any 587,81,8080,8088,4398,1494,1604,9704,7002,7060,7777,8008,9199,3399,3350,3392,5222,3395,4498,2222,3589,45000-60000 to 192.168.10.0/24 via ng0
$fw 250 deny all from any to 192.168.10.0/24 via ng0

$fw 300 deny all from any to me zebra,bgpd

$fw 310 allow all from any to me 20,21,80,222,53,123,45000-50000 via ng0
$fw 320 allow icmp from any to me icmptypes 8 in recv ng0

$fw 2000 fwd 192.168.10.1,3128 tcp from 192.168.10.0/24 to any http out via ng0
$fw 2100 fwd 192.168.100.1,3128 tcp from 192.168.100.0/24 to any http out via ng0

/sbin/ipfw nat 1 config log if ng0 reset same_ports deny_in redirect_port tcp 192.168.10.108:xxx xxx redirect_port tcp 192.168.10.15:xxx xxx redirect_port tcp 192.168.10.11:xxx xxx redirect_port tcp 192.168.10.11:60093 60093 redirect_port tcp 192.168.20.2:xxx xxx redirect_port tcp 192.168.10.15:80 8088 redirect_port tcp 192.168.10.15:xxx xxx

$fw 10000 nat 1 ip from any to any via ng0

$fw 10100 allow all from any to any

$fw 10500 allow tcp from any to me 1723
$fw 10600 allow gre from any to any

[Jonny]

Доброго времени суток установил MPD5 в качестве клиента и сервера.

Код: Выделить всё

re0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST                                                                                                  ,WOL_MCAST,WOL_MAGIC>
        ether 00:30:67:23:c4:3f
        media: Ethernet autoselect (none)
        status: no carrier
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST                                                                                                  ,WOL_MCAST,WOL_MAGIC>
        ether 14:d6:4d:1c:9e:53
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (none)
        status: no carrier
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether 00:24:01:02:59:f5
        inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 10.0.1.21 --> 10.0.1.1 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.21.1 --> 192.168.21.10 netmask 0xffffffff

Как видно оба соединения ng0 (pptp подключение к провайдеру) и ng1 (pptp подключение клиента из внутренней сети) поднялись.

ipfw:

Код: Выделить всё

FwCMD="/sbin/ipfw"       # собственно где лежит бинарник ipfw
VpnOut="ng0"                 # внешний интерфейс ppp
LanOut="vr0"                  # внешний интерфейс lan
LanIn="re1"                    # внутренний интерфейс lan
IpOut="192.168.0.100"    # внешний IP адрес машины
IpIn="192.168.21.0"        # внутренняя подсеть IP ppp-клиентов
NetMask="24"                 # маска сети (если она разная для внешней
NetOut="10.0.1.0"           # ip адрес ppp соединения с провайдером

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0

# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag

# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# NAT
${FwCMD} nat 1 config if ${LanOut} same_ports
${FwCMD} add 430 nat 1 ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 440 nat 1 ip from any to ${IpIn}/${NetMask} in via ${LanOut}

${FwCMD} add allow ip from any to any

помогите написать минимальные правила для доступа в интернет.

[mia]

Добрый день.
тестовый шлюз FreeBSD - 9 Release - XENHVM + в ядро добавлены опции ipfw
win2008R2 - 192.168.0.99
win7 - 192.168.2.48
клиент коннектится на 192.168.2.249

Код: Выделить всё

# cat /etc/firewall
nat 3 config ip 192.168.2.249 redirect_port tcp 192.168.0.99:3389 192.168.2.249:3389
add nat 3 ip from any to 192.168.2.249 3389
add nat 3 tcp from 192.168.0.99 3389 to any

nat 2 config ip 192.168.2.249 same_ports
add nat 2 all from 192.168.0.0/24 to 192.168.0.99

nat 1 config log if xn1 reset same_ports deny_in redirect_port tcp 192.168.2.249:22 22
add nat 1 ip from any to any via xn1

add  allow all from any to any

tcpdump "локалка" шлюз

Код: Выделить всё

tcpdump -npi xn0 port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xn0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:53:56.812384 IP 192.168.2.48.63633 > 192.168.0.99.3389: Flags [S], seq 2844189919, win 8192, options [mss 1460,sackOK,TS val 129964942 ecr 0], length 0
15:53:56.812777 IP 192.168.0.99.3389 > 192.168.2.48.63633: Flags [S.], seq 1049893249, ack 2844189920, win 8192, options [mss 1460,sackOK,TS val 189011974 ecr 129964942], length 0
15:53:59.817424 IP 192.168.2.48.63633 > 192.168.0.99.3389: Flags [S], seq 2844189919, win 8192, options [mss 1460,sackOK,TS val 129965242 ecr 0], length 0
15:53:59.821298 IP 192.168.0.99.3389 > 192.168.2.48.63633: Flags [S.], seq 1049893249, ack 2844189920, win 8192, options [mss 1460,sackOK,TS val 189012275 ecr 129964942], length 0
15:54:05.821457 IP 192.168.2.48.63633 > 192.168.0.99.3389: Flags [S], seq 2844189919, win 8192, options [mss 1460,sackOK,TS val 129965843 ecr 0], length 0
15:54:05.827390 IP 192.168.0.99.3389 > 192.168.2.48.63633: Flags [S.], seq 1049893249, ack 2844189920, win 8192, options [mss 1460,sackOK,TS val 189012876 ecr 129964942], length 0

tcpdump - "мир"

Код: Выделить всё

tcpdump -npi xn1 port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xn1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:26:38.385409 IP 192.168.2.48.64002 > 192.168.2.249.3389: Flags [S], seq 1805686117, win 8192, options [mss 1460,sackOK,TS val 130161093 ecr 0], length 0
16:26:38.385902 IP 192.168.2.249.3389 > 192.168.2.48.64002: Flags [S.], seq 201336867, ack 1805686118, win 8192, options [mss 1460,sackOK,TS val 189208134 ecr 130161093], length 0
16:26:41.385326 IP 192.168.2.249.3389 > 192.168.2.48.64002: Flags [S.], seq 201336867, ack 1805686118, win 8192, options [mss 1460,sackOK,TS val 189208434 ecr 130161093], length 0
16:26:41.389480 IP 192.168.2.48.64002 > 192.168.2.249.3389: Flags [S], seq 1805686117, win 8192, options [mss 1460,sackOK,TS val 130161393 ecr 0], length 0
16:26:47.388680 IP 192.168.2.48.64002 > 192.168.2.249.3389: Flags [S], seq 1805686117, win 8192, options [mss 1460,sackOK,TS val 130161993 ecr 0], length 0
16:26:47.391149 IP 192.168.2.249.3389 > 192.168.2.48.64002: Flags [S.], seq 201336867, ack 1805686118, win 8192, options [mss 1460,sackOK,TS val 189209035 ecr 130161093], length 0

Код: Выделить всё

ipfw show
00100    0      0 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400    0      0 deny ip from any to ::1
00500    0      0 deny ip from ::1 to any
00600    0      0 allow ipv6-icmp from :: to ff02::/16
00700    0      0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800    0      0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900    0      0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000    0      0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100    3    168 nat 3 ip from any to 192.168.2.249 dst-port 3389
01200    6    336 nat 3 tcp from 192.168.0.99 3389 to any
01300    4    224 nat 2 ip from 192.168.0.0/24 to 192.168.0.99
01400  378  33646 nat 1 ip from any to any via xn1
01500 1681 331364 allow ip from any to any
65535   82  23448 deny ip from any to any

Подскажите, почему не устанавливается соединение.

[Devapath]

Подскажите, как правильно ограничивать исходящий из внутренней сети трафик (в контексте ВТОРОГО примера). На внутреннем или на внешнем интерфейсе?

[gardener]

Прошу прощения, если баян, нет возможности листать весь тред.

При составлении документации нужно уделить внимание вопросу совместного использования "ядреного" ната, сохраненного состояния и возможно и шейпера.
Я, как новичок, порядком намучился без примеров и подробной документации. Поэтому было бы очень полезно затронуть и этот вопрос.

Например, понятно дело, что если правило allow сопровождается keep-state, то при движении пакета в обратном направлении и прохождении правила check-state будет выполнено вышеуказанное правило. НО! Если это обратный пакет, то в случае с НАТом (рассматривается случай когда исходящие натятся на выходе, а входящие на входе) он должен быть транслирован(!). То есть правило должно быть для обратного пакета не allow, а nat.
Я вышел из ситуации сохранением состояния на правилах skipto, с дальнейшим разделением на исходящие и входящие и выполнением соответствующих правил: allow или nat (не забыв при этом установить one_pass в 0).

Если нужно будет выложу свои громоздкие и сложные правила.

[sfefelov@mail.ru]

Есть кто настроил 2 канала нормально?
цель простая есть 2 канала tun0 и tun1

для tun0 Все настроено и работает,
хочется ip 192.168.0.10 пустить по второму каналу tun1, только что-то пакеты все равно усердно идут на tun0...
Идеи мысли, уже все на что мозгов хватило перебрал,
настроено все через kernel nat... кто готов помочь, пришлю литинги
связь через sfefelov@mail.ru будет быстрее

[PunKHS]

Вот такой вот конфиг:

Код: Выделить всё

FwCMD="/sbin/ipfw"      # собственно где лежит бинарник ipfw
LanOut="tun0"           # внешний интерфейс
LanIn="alc0"            # внутренний интерфейс
IpOut="ВнешняяIP"   # внешний IP адрес машины
IpIn="192.168.1.34"     # внутренний IP машины
#IpIn="192.168.1.100"   # внутренний IP машины
NetMask="24"            # маска сети (если она разная для внешней 
                        # и внутренней сети - придётся вводить ещё 
                        # одну переменную, но самое забавное, что 
                        # можно и забить - оставить 24 - всё будет 
                        # работать, по крайней мере я пробовал - 
                        # работаало на 4-х машинах, в разных сетях, 
                        # с разными масками - настоящими разными! но - 
                        # это неправильно.)
NetIn="192.168.1.0"     # Внутренняя сеть
NetOut="83.221.217.0"   # Внешняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0

# Попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# Частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

# Рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

# Рубим мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

# Рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag

# Рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# Отправляем всех на squid (в данном случае - прокси прозрачный)
#${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

# KERNEL NAT
${FwCMD} nat 1 config ip ${IpOut} unreg_only same_ports log \
redirect_port tcp 192.168.1.205:25 25 \
redirect_port tcp 192.168.1.205:143 143 \
redirect_port tcp 192.168.1.205:110 110 \
redirect_port tcp 192.168.1.205:3000 3000 \
redirect_port tcp 192.168.1.198:443 443 \
redirect_port tcp 192.168.1.201:3389 3389

#25,143,110,3000 - mail
#443 - Bank
#3389 - RDP

${FwCMD} add nat 1 all from ${NetIn}/${NetMask} to any
${FwCMD} add nat 1 all from any to ${IpOut}

# Рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

# Рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}

# Рубим мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

# Разрешаем все установленные соединения
${FwCMD} add allow tcp from any to ${IpOut} established

# Разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# Разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}

# Разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add allow udp from any to any 53 via ${LanOut}

# Разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}

# Разрешаем ftp снаружи (пассивный режим)
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 50000-50100 via ${LanOut}

# Разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11

# Открываем снаружи 22 порт - если надо будет ходить на машину по ssh
#${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}

# Открываем снаружи 25 порт (SMTP) если на машине крутится почта
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}

# Открываем снаружи 80 порт - если у нас есть WWW сервер на машине
#${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}

# Открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}

# Открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}

# Открываем снаружи 443 порт(для Банк-клиента)
${FwCMD} add allow tcp from any to ${IpOut} 443 via ${LanOut}

# Открываем снаружи 10000 порт(для Webmin)
#${FwCMD} add allow tcp from any to ${IpOut} 10000 via ${LanOut}

# Разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}

# Разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}

# Разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}

# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
#${FwCMD} add deny ip from any to any
#${FwCMD} add 65000 pass all from any to any

Код: Выделить всё

press# ipfw show
00100    0       0 check-state
00200  978  631026 allow ip from any to any via lo0
00300    0       0 deny ip from any to 127.0.0.0/8
00400    0       0 deny ip from 127.0.0.0/8 to any
00500    0       0 deny ip from any to 10.0.0.0/8 in via tun0
00600    0       0 deny ip from any to 172.16.0.0/12 in via tun0
00700    0       0 deny ip from any to 192.168.0.0/16 in via tun0
00800    0       0 deny ip from any to 0.0.0.0/8 in via tun0
00900    0       0 deny ip from any to 169.254.0.0/16 in via tun0
01000    0       0 deny ip from any to 240.0.0.0/4 in via tun0
01100    0       0 deny icmp from any to any frag
01200    0       0 deny log logamount 1000 icmp from any to 255.255.255.255 in v                                                                                                                               ia tun0
01300    0       0 deny log logamount 1000 icmp from any to 255.255.255.255 out                                                                                                                                via tun0
01400 2288  253242 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80                                                                                                                                via tun0
01500 5804 1351508 nat 1 ip from 192.168.1.0/24 to any
01600 4006 3452421 nat 1 ip from any to ВнешняяIP
01700    0       0 deny ip from 10.0.0.0/8 to any out via tun0
01800    0       0 deny ip from 172.16.0.0/12 to any out via tun0
01900    0       0 deny ip from 192.168.0.0/16 to any out via tun0
02000    0       0 deny ip from 0.0.0.0/8 to any out via tun0
02100    0       0 deny ip from 169.254.0.0/16 to any out via tun0
02200    0       0 deny ip from 224.0.0.0/4 to any out via tun0
02300    0       0 allow tcp from any to ВнешняяIP established
02400 3313  291369 allow ip from ВнешняяIP to any out xmit tun0
02500    0       0 allow udp from any 53 to any via tun0
02600    0       0 allow udp from any to any dst-port 53 via tun0
02700    0       0 allow udp from any to any dst-port 123 via tun0
02800    0       0 allow tcp from any to ВнешняяIP dst-port 21 via tun0
02900    0       0 allow tcp from any to ВнешняяIP dst-port 50000-50100 via                                                                                                                                tun0
03000    0       0 allow icmp from any to any icmptypes 0,8,11
03100    0       0 allow tcp from any to ВнешняяIP dst-port 25 via tun0
03200    0       0 allow tcp from any to ВнешняяIP dst-port 110 via tun0
03300    0       0 allow tcp from any to ВнешняяIP dst-port 143 via tun0
03400    0       0 allow tcp from any to ВнешняяIP dst-port 443 via tun0
03500 4448 3893888 allow tcp from any to any via alc0
03600   48   25040 allow udp from any to any via alc0
03700    0       0 allow icmp from any to any via alc0
03800    0       0 deny ip from any to any
65535    0       0 deny ip from any to any

Код: Выделить всё

press# netstat -na | grep LIST
tcp4       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.3306                 *.*                    LISTEN
tcp4       0      0 127.0.0.1.3128         *.*                    LISTEN
tcp4       0      0 *.10000                *.*                    LISTEN
tcp4       0      0 *.21                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 192.168.1.34.53        *.*                    LISTEN

Почему не все порты закрыты??????????????

[Байкал]

потому, что нат без deny_in

[PunKHS]

потому, что нат без deny_in

с этой опцией локалку и мир вообще не видит)

[gardener]

потому, что нат без deny_in

с этой опцией локалку и мир вообще не видит)

И это правильно.

Тут дело в другом, например:

Код: Выделить всё

# Открываем снаружи 10000 порт(для Webmin)
#${FwCMD} add allow tcp from any to ${IpOut} 10000 via ${LanOut}

В ответ получаем:

Код: Выделить всё

tcp4       0      0 *.10000                *.*                    LISTEN

Потому что правило FROM ANY TO VIA двунаправленное. Если открывается порт _С_наружи, то для исключения неоднозначностей нужно указывать как направление так и сторону интерфейса: IN RECV, а не VIA

А вот это откуда берется мне вообще не понятно.

Код: Выделить всё

tcp4       0      0 *.3306                 *.*                    LISTEN

[PunKHS]

3306 - порт MySQL. Получается что тоже открыт

[gardener]

не только открыт, но что удивительно, в правилах нигде не прописан.

[PunKHS]

не только открыт, но что удивительно, в правилах нигде не прописан.

Это не удивительно! Фаер вообще не защищает сервер! Абсолютно все открыто!

[FreeBSP]

файер рубит пакеты на интерфейсах
это не значит что никто не может ничего слушать, это значит что пакет на прослушиваемый порт будет проанализирован файером до того как пакет попадет в систему.
это во первых.
а во вторых, onepass покажите

[lolwut]

Вот такой вот конфиг:

Код: Выделить всё

...

Код: Выделить всё

press# netstat -na | grep LIST
tcp4       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.3306                 *.*                    LISTEN
tcp4       0      0 127.0.0.1.3128         *.*                    LISTEN
tcp4       0      0 *.10000                *.*                    LISTEN
tcp4       0      0 *.21                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 192.168.1.34.53        *.*                    LISTEN

Почему не все порты закрыты??????????????

Потому что Вы путаете теплое с мягким! ipfw, как и вообще любой firewall, не имеет отношения к тому какие порты "слушает" Ваш софт. Совсем. Он может только закрыть доступ или не закрывать его.
Хинт:

1. Пишем в /etc/rc.conf

   Код: Выделить всё

   sshd_enable="YES"
   sshd_flags="-4 -o 'ListenAddress локальный.IP.адрес.сервера'"
   

2. Делаем:

   Код: Выделить всё

   /etc/rc.d/sshd restart

3. Смотрим:

   Код: Выделить всё

   netstat -an | grep -i listen

4. ???
5. ПРОФИТ!