Помощь в просмотре правил ipfw

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-24 11:03:41

На старом шлюзе вертелась FreeBSD c простым файрволом, начальсвто начало закручивать гайки для ограничения пользователей по интернету, плюс наконец то отключили PPPoE.

Выкладываю новый листинг правил ipfw.
Не подскажете все ли нормально в нем, будет ли работать,
Посмотрел все вроде бы правильно.
Прошу Вашего разноса по нему.
Заранее спасибо

Код: Выделить всё

#!/bin/sh
cmd="/sbin/ipfw"

#peremennie
ifout="rl0"
ifin="vr0"
ipout="94.141.64.5"
ipin="192.168.0.54"
netmask="24"
netin="192.168.0.0"
netout="94.141.64.6/23"

#Flush all ipfw rules
${cmd} -f flush
${cmd} add check-state

#Loopback
${cmd} add allow ip from any to any via lo0

${cmd} add deny ip from ${netin} to any in via ${ifout}
${cmd} add deny ip from ${netout} to any in via ${ifin}

#Private netowrks via Out interfaces
${cmd} add deny ip from any to 127.0.0.0/8
${cmd} add deny ip from 127.0.0.0/8 to any
${cmd} add deny ip from any to 10.0.0.0/8 in via ${ifout}
${cmd} add deny ip from any to 172.16.0.0/12 in via ${ifout}
${cmd} add deny ip from any to 192.168.0.0/16 in via ${ifout}
${cmd} add deny ip from any to 0.0.0.0/8 in via ${ifout}
${cmd} add deny ip from any to 169.254.0.0/16 in via ${ifout}
${cmd} add deny ip from any to 240.0.0.0/4  in via ${ifout}

#ICMP pockets
${cmd} add deny icmp from any to any frag
${cmd} add deny log icmp from any to 255.255.255.255 in via ${ifout}
${cmd} add deny log icmp from any to 255.255.255.255 out via ${ifout}

#Squid forwarding
#${cmd} add fwd 127.0.0.1,3128 tcp from ${netin} to any 80 via ${ifout}

#NAT
${cmd} add divert natd ip from ${netin} to any out via ${ifout}
${cmd} add divert natd ip from any to ${ipout} in via ${ifout}

#Private networks via Out interfaces
${cmd} add deny ip from 10.0.0.0/8 to any out via ${ifout}
${cmd} add deny ip from 172.16.0.0/12 to any out via ${ifout}
${cmd} add deny ip from 192.168.0.0/16 to any out via ${ifout}
${cmd} add deny ip from 0.0.0.0/8 to any out via ${ifout}
${cmd} add deny ip from 169.254.0.0/16 to any out via ${ifout}
${cmd} add deny ip from 224.0.0.0/4 to any out via ${ifout}
${cmd} add deny ip from 240.0.0.0/4 to any out via ${ifout}

#ICMP-tarffic
${cmd} add allow icmp from any to any icmptypes 0,8,11

#Local traffic on internal interface
${cmd} add allow ip from any to ${netin} in via ${ifin}
${cmd} add allow ip from ${netin} to any out via ${ifin}

#MRIM.MAIL.RU block
${cmd} add deny tcp from any to 94.100.178.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.178.0/23 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.182.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.182.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.184.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.184.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.188.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.188.0/23 to any out via ${ifout}

${cmd} add allow tcp from any to any established

#allow ports
${cmd} add allow tcp from ${netin}/${netmask} 20 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 21 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 25 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 53 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 110 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 465 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 993 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 995 to any setup

#SSH
${cmd} add allow tcp from any to any 22

#Bank client ports
${cmd} add allow tcp from ${netin}/${netmask} 4077 to any setup
${cmd} add allow tcp from ${netin}/${netmask} 36086 to any setup

#Portrange
${cmd} add allow tcp from any to ${ipout} 49152-65535 via ${ifout}

#Block another tcp ports with logging
${cmd} add deny log tcp from any to any in via ${ifout} setup

#DNS
${cmd} add allow udp from ${ipout} to any 53 keep-state
${cmd} add allow udp from any to ${ipout} 53 keep-state
${cmd} add allow udp from ${ipin} to ${netin}/${netmask} 53 keep-state
${cmd} add allow udp from ${netin}/${netmask} to ${ipin} 53 keep-state

#NTP
${cmd} add allow udp from ${ipout} to any 123 keep-state
${cmd} add allow udp from any to ${ipout} 123 keep-state
${cmd} add allow udp from ${ipin} to ${netin}/${netmask} 123 keep-state
${cmd} add allow udp from ${netin}/${netmask} to ${ipin} 123 keep-state

${cmd} add deny ip from any to any
Кстати есть 2 компа:
1 AMD Athlon 2000+ 256 Mb RAM HDD 40 Gb
2 Celeron 2.13 1 Gb RAM HDD 160 Gb

Я вот думаю на первом поднять шлюз с проксей, на втором самбу как контроллера +файлопомойка+PostgreSQL до кучи для 1Ски(5 пользователей).
Почтовик еще надо, вот я думаю куда получше поставить на 1 или второй комп?
что подскажете?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение princeps » 2009-09-24 16:54:24

а учёток сколько будет у тебя?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-24 20:29:11

учеток каких именно? прошу уточнить.
если скорее всего 1С то 5+1=6 администратор
если под самбу дык скорее всего: начальство, бухи, маНЕГРЫ :-D , ну и я любимый))))
итого четыре
кстати не помогло

Код: Выделить всё

#MRIM.MAIL.RU block
${cmd} add deny tcp from any to 94.100.178.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.178.0/23 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.182.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.182.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.184.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.184.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.188.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.188.0/23 to any out via ${ifout}
помогла только блокировка 2041 порта)))
как то так

Код: Выделить всё

${cmd} add deny tcp from any to any 2041
А так как у меня давным давно настроен агент через jabber, то мне это правило в ipfw как-то лилово, зато маНЕГРОВ трясет))))) :crazy:

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение princeps » 2009-09-25 7:51:38

cyprix писал(а):учеток каких именно? прошу уточнить.если скорее всего 1С то 5+1=6 администраторесли под самбу дык скорее всего: начальство, бухи, маНЕГРЫ , ну и я любимый))))итого четыре
Вообще-то я почтовик имел в виду.
А так, чувак, не парься, с десятью компами за шлюзом у тебя всё будет работать в любой комбинации ;) Но лучше на второй.
cyprix писал(а):кстати не помогло
конечно, не помогло. Это ты весь пул mail.ru заблокировать хотел?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-25 8:06:51

Вообще-то я почтовик имел в виду.
А так, чувак, не парься, с десятью компами за шлюзом у тебя всё будет работать в любой комбинации Но лучше на второй.
ААА почтовик звиняйте, запамятовал :shock: Так там скорее всго порядка 15-20 учеток))). Я тоже так думаю что лучше всего на второй машине. Эхх раззудись коса 8) Буду сидеть конфигурировать. А то людей то вокруг нету никого, кто сможет подсказать Ташкент однако город маленькой))).

Код: Выделить всё

#MRIM.MAIL.RU block
${cmd} add deny tcp from any to 94.100.178.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.178.0/23 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.182.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.182.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.184.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.184.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.188.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.188.0/23 to any out via ${ifout}
А это блокировка пула адресов mrim.mail.ru
http://www.mail.ru сидит на других ip вроде начинаются с 217.69,128,42
почтовики mail.ru сидят на 94.100.177.1 и выше

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение princeps » 2009-09-25 11:39:56

Что-то народ из Ташкента косяком пошёл. http://forum.lissyara.su/memberlist.php ... ile&u=8270 вроде тоже из Ташкента, случем не твой друг?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение schizoid » 2009-09-25 11:58:05

cyprix писал(а):
Вообще-то я почтовик имел в виду.
А так, чувак, не парься, с десятью компами за шлюзом у тебя всё будет работать в любой комбинации Но лучше на второй.
ААА почтовик звиняйте, запамятовал :shock: Так там скорее всго порядка 15-20 учеток))). Я тоже так думаю что лучше всего на второй машине. Эхх раззудись коса 8) Буду сидеть конфигурировать. А то людей то вокруг нету никого, кто сможет подсказать Ташкент однако город маленькой))).

Код: Выделить всё

#MRIM.MAIL.RU block
${cmd} add deny tcp from any to 94.100.178.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.178.0/23 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.182.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.182.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.184.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.184.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.188.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.188.0/23 to any out via ${ifout}
А это блокировка пула адресов mrim.mail.ru
http://www.mail.ru сидит на других ip вроде начинаются с 217.69,128,42
почтовики mail.ru сидят на 94.100.177.1 и выше
а блокировать нужно только mail.ru?
у мну так:

Код: Выделить всё

deny log logamount 1000 tcp from not 192.168.0.90 to not table(4) dst-port 25 out { via rl1 or via sk0 }
т.е. запрещено всем, кроме самого почтовика, который находится внутри сети 192,168,0,90, на любой 25-й порт (smtp), кроме почтовых серверов, указанных в таблице table(4) через оба внешних интерфейса
ядерный взрыв...смертельно красиво...жаль, что не вечно...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение princeps » 2009-09-25 13:31:06

не, ему не почту, ему мэйл-агент надо зарубить. Я просто хотел донести, что блокировать по ип-адресам агентовского сервера - это не будет эффективно, лучше рубить порт.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-25 13:35:12

Что-то народ из Ташкента косяком пошёл. memberlist.php?mode=viewprofile&u=8270 вроде тоже из Ташкента, случем не твой друг?
Не знаю не знаю, скорее всего brothers in arms :smile:
Все таки начинаем прививать любовь к правильной (ИМХО) оси. :Yahoo!:
Помню как переходил на FreeBSD, информации мало было не в пример Linux потом набрел на этот сайт полегче как то стало. Так что спасибо lissyar'е :Yahoo!: Но все равно трудно, книг мало в печатном виде а точнее нету практически, приходится с интернета скачивать и распечатывать.
Кстати а как посмотреть, откуда он именно? что то не нашел :pardon:

Код: Выделить всё

#MRIM.MAIL.RU block
${cmd} add deny tcp from any to 94.100.178.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.178.0/23 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.182.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.182.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.184.0/22 in via ${ifout}
${cmd} add deny tcp from 94.100.184.0/22 to any out via ${ifout}
${cmd} add deny tcp from any to 94.100.188.0/23 in via ${ifout}
${cmd} add deny tcp from 94.100.188.0/23 to any out via ${ifout}
А это блокировка не почтовиков mail.ru а серверов Mail.ru Agent.
И эти правила по какой то причине не заработали. :st:
Почему не знаю, кто-нибудь сможет подсказать?
А пеомогло простая и элегантная блокировка порта

Код: Выделить всё

${cmd} add deny tcp from any to any 2041

cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-25 13:36:56

не, ему не почту, ему мэйл-агент надо зарубить. Я просто хотел донести, что блокировать по ип-адресам агентовского сервера - это не будет эффективно, лучше рубить порт.
пара минут не успел я:-D
Сам понял, что блокировка неэффекьтвна по причине того вставят они например новый сервер mrim вот туда и будет присоединяться а портоблокировка как то эффективнее.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение schizoid » 2009-09-25 18:03:54

учтите также, что имеет значение месторасположение правила
ядерный взрыв...смертельно красиво...жаль, что не вечно...

cyprix
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-01-14 0:06:29

Re: Помощь в просмотре правил ipfw

Непрочитанное сообщение cyprix » 2009-09-25 18:52:49

schizoid писал(а):учтите также, что имеет значение месторасположение правила
раньше чем разрешение на интернет пользователям
типа

Код: Выделить всё

ipfw add divert natd all from any to any via tun0
${cmd} add deny ip from any to 94.100.178.0/23 in via tun0
${cmd} add deny ip from 94.100.178.0/23 to any out via tun0
${cmd} add deny ip from any to 94.100.182.0/22 in via tun0
${cmd} add deny ip from 94.100.182.0/22 to any out via tun0
${cmd} add deny ip from any to 94.100.184.0/22 in via tun0
${cmd} add deny ip from 94.100.184.0/22 to any out via tun0
${cmd} add deny ip from any to 94.100.188.0/23 in via tun0
${cmd} add deny ip from 94.100.188.0/23 to any out via tun0

ipfw add deny ip from 192.168.0.55 to any via rl0
ipfw add deny ip from 192.168.0.55 to any via rl1
ipfw add deny ip from 192.168.0.30 to any via rl0
ipfw add deny ip from 192.168.0.30 to any via rl1
ipfw add deny ip from 192.168.0.23 to any via tun0
ipfw add allow ip from any to any