Проблемы с NATD+ipfw FreeBSD 5.3
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- mglushak
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-01-26 10:34:28
Проблемы с NATD+ipfw FreeBSD 5.3
Помогите разобраться:
Что необходимо
1. Пакеты с внутреннего адреса 192.168.0.132 проходили напрямую в нет без ограничений
Что сделано:
1. Пересборка ядра с включением функций NATD
options IPFIREWALL
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options DUMMYNET
options HZ=1000
2. В rc.conf добавлено
gateway_enable="YES"
ifconfig_em0="inet 192.168.0.200 netmask 255.255.255.0"
ifconfig_em1="inet ххх.ххх.ххх.ххх netmask ххх.ххх.ххх.ххх"
natd_enable="YES"
natd_flags="-n em1 -p 8668 -f /etc/natd.conf"
sysctl net.inet.ip.forwarding=1
firewall_enable="YES"
firewall_script="/root/ipfw_conf"
firewall_logging="YES"
3. natd.conf
log yes
same_ports yes
use_sockets yes
4. ipfw
Внутренний ин-фейс em0
Внешний ин-фейс em1
ххх.ххх.ххх.ххх внешний адрес
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 10.0.0.0/8 to any via em1
00500 deny log ip from 172.16.0.0/12 to any via em1
00600 divert 8668 ip from 192.168.0.132 to any via em1
00700 allow ip from any to 192.168.0.132 in via em1
00800 deny log ip from 192.168.0.0/16 to any via em1
00900 deny log ip from 0.0.0.0/8 to any via em1
01000 deny log ip from 169.254.0.0/16 to any via em1
01100 deny log ip from 192.0.2.0/24 to any via em1
01200 deny log ip from 198.18.0.0/15 to any via em1
01300 deny log ip from 224.0.0.0/4 to any via em1
01400 deny log ip from 240.0.0.0/4 to any via em1
01500 deny log ip from any to any out recv em0 xmit em1
01600 allow ip from any to any via em0
01700 check-state
01800 allow tcp from any to any out via em1 setup keep-state
01900 allow ip from any to any frag
02000 allow tcp from 192.168.0.133 to 192.168.0.200 dst-port 80 in via em0
02100 deny tcp from 192.168.0.0/24 to 192.168.0.200 dst-port 80 in via em0
02800 allow tcp from any to ххх.ххх.ххх.ххх dst-port 25 in via em1
02900 allow tcp from any to (dns prov) dst-port 53 out via em1 setup keep-state
03000 allow udp from (dns prov) 53 to ххх.ххх.ххх.ххх in via em1
03100 unreach port udp from any to ххх.ххх.ххх.ххх dst-port 33435-33524 in via em1
03200 allow icmp from any to any in via em1 icmptypes 0,3,4,8,11
03300 allow ip from ххх.ххх.ххх.108/30 to any out via em1
03400 deny log ip from any to 255.255.255.255
03500 deny log ip from any to any
65535 deny ip from any to any
=================================================
Проблема в том что с 192.168.0.132 уходят но не возвращаются соответственно 192.168.0.132 никуда непущает
=========================================================
Помогите разобраться а то уже бошка разваливается
Что необходимо
1. Пакеты с внутреннего адреса 192.168.0.132 проходили напрямую в нет без ограничений
Что сделано:
1. Пересборка ядра с включением функций NATD
options IPFIREWALL
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options DUMMYNET
options HZ=1000
2. В rc.conf добавлено
gateway_enable="YES"
ifconfig_em0="inet 192.168.0.200 netmask 255.255.255.0"
ifconfig_em1="inet ххх.ххх.ххх.ххх netmask ххх.ххх.ххх.ххх"
natd_enable="YES"
natd_flags="-n em1 -p 8668 -f /etc/natd.conf"
sysctl net.inet.ip.forwarding=1
firewall_enable="YES"
firewall_script="/root/ipfw_conf"
firewall_logging="YES"
3. natd.conf
log yes
same_ports yes
use_sockets yes
4. ipfw
Внутренний ин-фейс em0
Внешний ин-фейс em1
ххх.ххх.ххх.ххх внешний адрес
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 10.0.0.0/8 to any via em1
00500 deny log ip from 172.16.0.0/12 to any via em1
00600 divert 8668 ip from 192.168.0.132 to any via em1
00700 allow ip from any to 192.168.0.132 in via em1
00800 deny log ip from 192.168.0.0/16 to any via em1
00900 deny log ip from 0.0.0.0/8 to any via em1
01000 deny log ip from 169.254.0.0/16 to any via em1
01100 deny log ip from 192.0.2.0/24 to any via em1
01200 deny log ip from 198.18.0.0/15 to any via em1
01300 deny log ip from 224.0.0.0/4 to any via em1
01400 deny log ip from 240.0.0.0/4 to any via em1
01500 deny log ip from any to any out recv em0 xmit em1
01600 allow ip from any to any via em0
01700 check-state
01800 allow tcp from any to any out via em1 setup keep-state
01900 allow ip from any to any frag
02000 allow tcp from 192.168.0.133 to 192.168.0.200 dst-port 80 in via em0
02100 deny tcp from 192.168.0.0/24 to 192.168.0.200 dst-port 80 in via em0
02800 allow tcp from any to ххх.ххх.ххх.ххх dst-port 25 in via em1
02900 allow tcp from any to (dns prov) dst-port 53 out via em1 setup keep-state
03000 allow udp from (dns prov) 53 to ххх.ххх.ххх.ххх in via em1
03100 unreach port udp from any to ххх.ххх.ххх.ххх dst-port 33435-33524 in via em1
03200 allow icmp from any to any in via em1 icmptypes 0,3,4,8,11
03300 allow ip from ххх.ххх.ххх.108/30 to any out via em1
03400 deny log ip from any to 255.255.255.255
03500 deny log ip from any to any
65535 deny ip from any to any
=================================================
Проблема в том что с 192.168.0.132 уходят но не возвращаются соответственно 192.168.0.132 никуда непущает
=========================================================
Помогите разобраться а то уже бошка разваливается
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
фаер скорее всего режет. логи смотри
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- mglushak
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-01-26 10:34:28
Re: Проблемы с NATD+ipfw FreeBSD 5.3
Я прекрасно понимаю что гдето режет , но если бы кто-то тыкнул где........
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
сделай
и смотри что режет
Код: Выделить всё
#ipfw resetlog
tail -f /var/log/security
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)
Это не нужно для работы IPFW. Хотя и мешать не должно бы.options IPFILTER
options IPFILTER_LOG
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- mglushak
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-01-26 10:34:28
Re: Проблемы с NATD+ipfw FreeBSD 5.3
============================================================================================dikens3 писал(а):Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)Это не нужно для работы IPFW. Хотя и мешать не должно бы.options IPFILTER
options IPFILTER_LOG
нет один второй типа ип филтра молчит
-
- лейтенант
- Сообщения: 719
- Зарегистрирован: 2007-08-23 10:56:51
- Откуда: Украина, г. Киев, г. Белая Церковь
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
Код: Выделить всё
00600 divert 8668 ip from 192.168.0.132 to any via em1
Код: Выделить всё
divert 8668 ip from any to ххх.ххх.ххх.ххх in via em1
Код: Выделить всё
00700 allow ip from any to 192.168.0.132 in via em1
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- mglushak
- рядовой
- Сообщения: 12
- Зарегистрирован: 2008-01-26 10:34:28
Re: Проблемы с NATD+ipfw FreeBSD 5.3
===========================================================================harmless писал(а):а преобразовка ната назад??????Код: Выделить всё
00600 divert 8668 ip from 192.168.0.132 to any via em1
и тут ошибкаКод: Выделить всё
divert 8668 ip from any to ххх.ххх.ххх.ххх in via em1
Код: Выделить всё
00700 allow ip from any to 192.168.0.132 in via em1
те необходимо добавить правило типа
Код: Выделить всё
divert 8668 ip from 192.168.0.132 to ххх.ххх.ххх.ххх in via em1
Код: Выделить всё
00700 allow ip from any to 192.168.0.132 in via em1
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Проблемы с NATD+ipfw FreeBSD 5.3
Код: Выделить всё
600 divert 8668 ip from any to any via em1
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.