Роутер для малого-среднего офиса

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 6:28:50

Т.е. косяк точно не в nat`e, а в файрволе надо ковыряться ?

А в чем разница между
# Разрешаем трафик по local интерфейсу
${fwcmd} add pass all from any to any via lo0
и
#Разрешаем все по интерфейсу обратной петли
${fwcmd} add allow ip from any to any via lo

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox_
проходил мимо

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение paradox_ » 2008-07-19 18:04:16

pass/allow разници никакой

нат этот тот же фаервол
я бы сказал особенность работы фаервола)

у вас фаервол и нат методом ТЫКА

вы пишите его разбираясь как отрабатывает правила
дай бой дебаг в ipfw нормальный
все ясно как божий день

а не вставили
и оно как то заработало и незаработало

вывод один - вы непонимаете как работает фаервол
соответсвенно сдесь поможет токо man ipfw

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 19:57:07

paradox_ писал(а):pass/allow разници никакой

нат этот тот же фаервол
я бы сказал особенность работы фаервола)

у вас фаервол и нат методом ТЫКА

вы пишите его разбираясь как отрабатывает правила
дай бой дебаг в ipfw нормальный
все ясно как божий день

а не вставили
и оно как то заработало и незаработало

вывод один - вы непонимаете как работает фаервол
соответсвенно сдесь поможет токо man ipfw
Естественно пока непонимаю, потому что только учусь :roll: , вот я и пытаюсь понять как он работает, прочел эту статью http://www.lissyara.su/?id=1536 вроде немного просветлился, но пока еще до конца не могу сообразить как правила составляются...

PS - английским хорошо не владею, потому с манами трудновато работать



Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение zingel » 2008-07-19 22:23:04

устаревшее
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 23:05:53

тут описаны некоторые аспекты которые мне как новичку все же интересны

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение zingel » 2008-07-19 23:07:38

лучше мана - ничего нет, не придумали пока
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 23:09:37

zingel писал(а):лучше мана - ничего нет, не придумали пока
жалко только что их на русском нет от перво источника...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение paradox » 2008-07-19 23:12:06

там на инглицком токо три слова в манах
в разных комбинациях
))

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 23:14:36

paradox писал(а):там на инглицком токо три слова в манах
в разных комбинациях
))

Код: Выделить всё

DESCRIPTION
     The ipfw utility is the user interface for controlling the ipfw(4) fire-
     wall and the dummynet(4) traffic shaper in FreeBSD.

     An ipfw configuration, or ruleset, is made of a list of rules numbered
     from 1 to 65535.  Packets are passed to ipfw from a number of different
     places in the protocol stack (depending on the source and destination of
     the packet, it is possible that ipfw is invoked multiple times on the
     same packet).  The packet passed to the firewall is compared against each
     of the rules in the firewall ruleset.  When a match is found, the action
     corresponding to the matching rule is performed.

     Depending on the action and certain system settings, packets can be rein-
     jected into the firewall at some rule after the matching one for further
     processing.

     An ipfw ruleset always includes a default rule (numbered 65535) which
     cannot be modified or deleted, and matches all packets.  The action asso-
     ciated with the default rule can be either deny or allow depending on how
     the kernel is configured.

     If the ruleset includes one or more rules with the keep-state or limit
     option, then ipfw assumes a stateful behaviour, i.e., upon a match it
     will create dynamic rules matching the exact parameters (addresses and
     ports) of the matching packet.

     These dynamic rules, which have a limited lifetime, are checked at the
     first occurrence of a check-state, keep-state or limit rule, and are typ-
     ically used to open the firewall on-demand to legitimate traffic only.
     See the STATEFUL FIREWALL and EXAMPLES Sections below for more informa-
     tion on the stateful behaviour of ipfw.

     All rules (including dynamic ones) have a few associated counters: a
     packet count, a byte count, a log count and a timestamp indicating the
     time of the last match.  Counters can be displayed or reset with ipfw
     commands.

     Rules can be added with the add command; deleted individually or in
     groups with the delete command, and globally (except those in set 31)
     with the flush command; displayed, optionally with the content of the
     counters, using the show and list commands.  Finally, counters can be
     reset with the zero and resetlog commands.
я после таких трех слов,долго на транслэйти сижу :-D

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение paradox » 2008-07-19 23:17:20

тогда учи программирование
в коде легче разобраться

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 23:20:15

paradox писал(а):тогда учи программирование
в коде легче разобраться
нет уж,это пока не потяну,лучше буду маны переводить глядишь еще и аглицкий выучу )))

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение paradox » 2008-07-19 23:22:47

как по мне так одинаково
программирование даже легче
если логика в голове есть
англицкий он сложнее в нем логики нет)))

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-19 23:26:27

paradox писал(а):как по мне так одинаково
программирование даже легче
если логика в голове есть
англицкий он сложнее в нем логики нет)))
эт точно :-D :-D :-D ,а вообще вот за то время сколько никсами увлекаюсь,все больше и больше понимаю что без программирования не куда...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Morty » 2008-07-19 23:54:35

можешь попробовать инет переводчик (может поможет с англицким)
http://google.com/translate_t
ЗЫ: для меня ipfw теперь будет - горение стены -)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение zingel » 2008-07-20 0:14:46

Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-22 16:19:29

zingel писал(а):http://www.lissyara.su/?id=1313
Попробовал поставить,че то не густо там русских слов ... :unknown:

Кто может объяснить как писать правила в ipfw??? Че то ни как не могу понять ...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение squid » 2008-07-22 16:47:39

посмотри примеры
сам напиши что то
если не заработает бросай сюда
потом уже разбираться
хех..

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение paradox » 2008-07-22 18:13:20

согласен
нету русского фаервола
так же как и русского языка программирования

хотя я себе не представляю такие конструкции

Код: Выделить всё

добзащ 1 доб пропуск от всех для всех через сетьайпи 1.1.1.1

воть

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Morty » 2008-07-22 18:35:01

Sun писал(а):
zingel писал(а):http://www.lissyara.su/?id=1313
Попробовал поставить,че то не густо там русских слов ... :unknown:

Кто может объяснить как писать правила в ipfw??? Че то ни как не могу понять ...
в гугле есть достатточно на эту тему по русски
http://www.google.com.ua/search?hl=ru&q ... 0%BA&meta=
ЗЫ : как результат ->
http://www.opennet.ru/opennews/art.shtml?num=2299
http://ipfw.ism.kiev.ua/index.html
http://ipfw.ism.kiev.ua/prim.html
тут на сайте кажись тоже было, и описалово и примеры
ЗЫЫ: в книгах есть базис , базиснее уж не куда (моглиб и более написать).В Исскустве достижения равновесия есть но крайнее мало.в FreeBSD 6 полное руководство(Б.Таймен) тоже есть, чуток больше описано, но тоже мало.
Главное везде русским по белому :smile:


Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-22 19:00:44

1 -Почему ему ненравится 4 строка?
2 -И че он остальные правила не грузит?
3 -Я так понимаю что при ipfw show он должен вывести все правила?

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Line 4: bad command `ipfw="/sbin/ipfw"'
Firewall rules loaded.
net.inet.ip.fw.enable: 1 -> 1

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Morty » 2008-07-22 19:09:38

возможно вместо

Код: Выделить всё

`ipfw="/sbin/ipfw"'
нада

Код: Выделить всё

ipfw="/sbin/ipfw"
нада файлик с набором правил смотреть

Аватара пользователя
Sun
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Роутер для малого-среднего офиса

Непрочитанное сообщение Sun » 2008-07-22 20:01:45

Короче там дело было не в конфиге файра, просто в rc.conf было так:

Код: Выделить всё

firewall_type="/etc/myconf.firewall"
а надо было так

Код: Выделить всё

firewall_script="/etc/myconf.firewall"
c такой настройкой инет полетел, но вот сеть нет

Код: Выделить всё

firewall_type="open"