Помогите разобраться с IPFW

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nyar
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-09-30 13:29:56

Помогите разобраться с IPFW

Непрочитанное сообщение nyar » 2010-05-14 8:52:14

Вопрос к специалистом, сам я c FreeBSD знаком недавно и еще учусь.
Вот такие правила у меня:

ngo - pptp интерфейс к провайдеру
vr0 - физ. интерфейс к провайдеру

Код: Выделить всё

00002 allow ip from any to any via rl0
00003 allow ip from any to any via vr0
00004 allow ip from any to any via lo0
00090 allow gre from any to any via ng0
00091 allow tcp from any to me dst-port 1723 via ng0
00092 allow tcp from me 1723 to any via ng0
00093 allow tcp from any to me dst-port 22 in via ng0
00094 allow tcp from me 22 to any via ng0
00100 divert 8668 ip from any to any in via ng0
00101 check-state
00120 skipto 500 udp from any to any dst-port 53 out via ng0 keep-state
00121 skipto 500 udp from any to any dst-port 87 out via ng0 keep-state
00125 skipto 500 tcp from any to any out via ng0 setup keep-state
00130 skipto 500 icmp from any to any out via ng0 keep-state
00135 skipto 500 udp from any to any dst-port 123 out via ng0 keep-state
00300 deny ip from 192.168.0.0/16 to any in via ng0
00301 deny ip from 172.16.0.0/12 to any in via ng0
00302 deny ip from 10.0.0.0/8 to any in via ng0
00303 deny ip from 127.0.0.0/8 to any in via ng0
00304 deny ip from 0.0.0.0/8 to any in via ng0
00305 deny ip from 169.254.0.0/16 to any in via ng0
00306 deny ip from 192.0.2.0/24 to any in via ng0
00307 deny ip from 204.152.64.0/23 to any in via ng0
00308 deny ip from 224.0.0.0/3 to any in via ng0
00420 allow tcp from any to me dst-port 1723 in via ng0 setup limit src-addr 2
00430 allow tcp from any to me dst-port 22 in via ng0 setup limit src-addr 2
00450 deny log ip from any to any
00500 divert 8668 ip from any to any out via ng0
00510 allow ip from any to any
65535 deny ip from any to any
Не получается подключится к серверу из Интернет.
Мне надо по VPN подключатся и по SSH.
Подскажите пожалуйста что не так делаю?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Помогите разобраться с IPFW

Непрочитанное сообщение dikens3 » 2010-05-14 9:03:10

рекомендую отрыть для себя опцию LOG. Много ответов можно обнаружить.

Лучше так делать:

Код: Выделить всё

00091 allow tcp from any to me dst-port 22,1723 via ng0
00094 allow tcp from me 22,1723 to any via ng0
Смотрите ipfw show, там есть счётчики, что попало под правила, а что нет.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

nyar
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-09-30 13:29:56

Re: Помогите разобраться с IPFW

Непрочитанное сообщение nyar » 2010-05-14 10:31:58

Входящие соединения заработали при таких правилах, но исходящие PPTP перестали работать, останавливается на сообщении "Проверка пользователя и пароля".
Если убираю правила 90-94 исходящие работают, входящие нет. Почему правила 420 и 430 не срабатывают? ipfw show показывает 0 около них.

nyar
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-09-30 13:29:56

Re: Помогите разобраться с IPFW

Непрочитанное сообщение nyar » 2010-05-14 11:31:16

Вот при таких настройках заработало:

Код: Выделить всё

00002 allow ip from any to any via rl0
00003 allow ip from any to any via vr0
00004 allow ip from any to any via lo0
00091 skipto 510 tcp from any to me dst-port 22,1723 in via ng0 keep-state
00100 divert 8668 ip from any to any in via ng0
00101 check-state
00120 skipto 500 udp from any to any dst-port 53 out via ng0 keep-state
00121 skipto 500 udp from any to any dst-port 87 out via ng0 keep-state
00125 skipto 500 tcp from any to any out via ng0 setup keep-state
00130 skipto 500 icmp from any to any out via ng0 keep-state
00135 skipto 500 udp from any to any dst-port 123 out via ng0 keep-state
00136 skipto 500 gre from any to any out via ng0 keep-state
00300 deny ip from 192.168.0.0/16 to any in via ng0
00301 deny ip from 172.16.0.0/12 to any in via ng0
00302 deny ip from 10.0.0.0/8 to any in via ng0
00303 deny ip from 127.0.0.0/8 to any in via ng0
00304 deny ip from 0.0.0.0/8 to any in via ng0
00305 deny ip from 169.254.0.0/16 to any in via ng0
00306 deny ip from 192.0.2.0/24 to any in via ng0
00307 deny ip from 204.152.64.0/23 to any in via ng0
00308 deny ip from 224.0.0.0/3 to any in via ng0
00450 deny log ip from any to any
00500 divert 8668 ip from any to any out via ng0
00510 allow ip from any to any
00520 allow gre from any to any
65535 deny ip from any to any

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Помогите разобраться с IPFW

Непрочитанное сообщение dikens3 » 2010-05-14 20:24:28

Почему правила 420 и 430 не срабатывают? ipfw show показывает 0 около них.
Потому что данный вид пакетов уже был принят(accept) или отклонён(deny,reject).
Вот при таких настройках заработало:
тему закрыть?

P.S. count log мне помогал в своё время, он ничего с пакетами не делает, но логи пишет..
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.