Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-06-30 18:43:36
Вот собственно сабж, машинки в сети прорускать не хочет.
Сонфиг сквида:
Код: Выделить всё
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname main.my_domain.kiev.ua
tcp_outgoing_address 213.160.130.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10
acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/etc/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/etc/squid/limited_IP.conf"
acl localhost src 127.0.0.1/8
acl our_networks src 192.168.0.0/24
acl denied_sites dstdomain "/usr/local/etc/squid/denied_ext.conf"
http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
#httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
rc.firewall
Код: Выделить всё
#!/bin/sh
FwCMD="/sbin/ipfw -q "
LanOut="rl0"
LanIn="vr0"
IpOut="213.160.130.2"
IpIn="192.168.0.2"
NetMask="24"
NetIn="192.168.0.0"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via vr0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
rc.conf
Код: Выделить всё
hostname="main.my-domain.kiev.ua"
ifconfig_rl0="inet 213.160.130.2 netmask 255.255.255.248"
ifconfig_vr0="inet 192.168.0.2 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="213.160.130.2"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_flags="-m -u"
natd_interface="rl0"
ipv6_enable="YES"
usbd_enable="YES"
squid_enable="YES"
в логах примерно такое:
Код: Выделить всё
192.168.0.28 TCP_DENIED/403 1424 POST http://......... - NONE/- text/html
192.168.0.28 TCP_DENIED/403 1404 GET http://......... - NONE/- text/html
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Непрочитанное сообщение
skeletor » 2008-07-01 11:50:19
А если отключить сквид и убрать правило в файере про заворот на сквид - машины в инет ходят?
skeletor
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
-
Контактная информация:
Непрочитанное сообщение
alex3 » 2008-07-01 12:19:26
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
alex3
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-01 12:45:51
Ты знаеш не пробовал, а что указывать клиентам? Порт ? Айпишник ?
Кстати сквид 2.5 стаб 14.
Изначально матерился на то что закаментировал.
Хотя смысл выключать сквид.
Я уже пробовал с ацлами
типа:
Код: Выделить всё
acl Pupkin src 192.168.0.28/24
http_access allow Pupkin
все равно фигня
Та всё правильно, мне больше кажется что дело в фаере. но где именно не могу понять
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-01 12:47:47
Код: Выделить всё
00100 0 0 check-state
00200 200 25292 allow ip from any to any via vr0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 10.0.0.0/8 in via rl0
00600 0 0 deny ip from any to 172.16.0.0/12 in via rl0
00700 126 14129 deny ip from any to 192.168.0.0/16 in via rl0
00800 0 0 deny ip from any to 0.0.0.0/8 in via rl0
00900 0 0 deny ip from any to 169.254.0.0/16 in via rl0
01000 0 0 deny ip from any to 240.0.0.0/4 in via rl0
01100 0 0 deny ip from any to any frag
01200 0 0 deny log logamount 100 icmp from any to 255.255.255.255 in via rl0
01300 0 0 deny log logamount 100 icmp from any to 255.255.255.255 out via rl0
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
01600 0 0 divert 8668 from 192.168.0.0/24 to any out via rl0
01700 77 6271 divert 8668 from any to 213.160.130.2 in via rl0
01800 0 0 deny ip from 10.0.0.0/8 to any out via rl0
01900 0 0 deny ip from 172.16.0.0/12 to any out via rl0
02000 0 0 deny ip from 192.168.0.0/16 to any out via rl0
02100 0 0 deny ip from 0.0.0.0/8 to any out via rl0
02200 0 0 deny ip from 169.254.0.0/16 to any out via rl0
02300 0 0 deny ip from 224.0.0.0/4 to any out via rl0
02400 0 0 deny ip from 240.0.0.0/4 to any out via rl0
02500 893 344218 allow tcp from any to any established
02600 69 4818 allow ip from 213.160.130.234 to any out xmit rl0
02700 13 1948 allow udp from any 53 to any via rl0
02800 0 0 allow udp from any to any dst-port 53 via rl0
02900 0 0 allow udp from any to any dst-port 123 via rl0
03000 0 0 allow icmp from any to any icmptypes 0,8,11
03100 0 0 allow tcp from any to 213.160.130.2 dst-port 80 via rl0
03200 56 2644 allow tcp from any to 213.160.130.2 dst-port 25 via rl0
03300 0 0 allow tcp from any to 213.160.130.2 dst-port 22 via rl0
03400 3 144 allow tcp from any to 213.160.130.2 dst-port 110 via rl0
03500 0 0 allow gre from any to any via vr0
03600 92 4416 allow tcp from any to any via vr0
03700 32 2875 allow udp from any to any via vr0
03800 22 1232 allow icmp from any to any via vr0
03900 7 1599 deny ip from any to any
65535 13 791 allow ip from any to any
Последний раз редактировалось
JeaRmiX 2008-07-01 14:09:48, всего редактировалось 5 раз.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-07-01 12:57:19
Z301171463546 - можно пожертвовать мне денег
zingel
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-01 14:08:37
Код: Выделить всё
03900 7 1599 deny ip from any to any
65535 13 791 allow ip from any to any
чё за нах
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
-
Контактная информация:
Непрочитанное сообщение
alex3 » 2008-07-01 14:57:37
Код: Выделить всё
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
alex3
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-01 15:26:50
alex3 писал(а):Код: Выделить всё
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
И чво с этим делать?
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
-
Контактная информация:
Непрочитанное сообщение
alex3 » 2008-07-01 15:42:28
включать логи в ipfw и смотреть
а еще лучше убрать 200 правило или перенести пониже....
а совсем хорошо - как Dikens посоветовал читать
и
http://nuclight.livejournal.com/124348.html
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
alex3
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-01 16:12:30
блин но без
Код: Выделить всё
00200 200 25292 allow ip from any to any via vr0
сквид не будет пахать, кстати тут же нужно указывать внутренний интерфейс или внешний???? или что то ещё(((((((????
Народ помогите пож!!!
кстати включить лог как
??????
на ЖЖ оч сложно.... Не для меня.
Последний раз редактировалось
JeaRmiX 2008-07-01 16:26:29, всего редактировалось 2 раза.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Непрочитанное сообщение
paradox » 2008-07-01 16:25:45
точно
как говрит zingel
а я добавлю
фаерволы нынче молодежь
строит из вывода
чем больше правил
тем надежней
не понимая вообще что они делают
paradox
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-07-02 1:55:03
а потом спрашивают куда сокеты кончаются
Z301171463546 - можно пожертвовать мне денег
zingel
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-02 18:10:27
Блин а сложно тыкнуть носом
Может кто либо подсказать выд конфига фаервола для моей ситуации.
Squid, Nat, Samba, mail(POP, SMTP), IPSec, DNS.
Буду весьма благодарен
Последний раз редактировалось
JeaRmiX 2008-07-02 18:23:52, всего редактировалось 1 раз.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
paradox_
- проходил мимо
Непрочитанное сообщение
paradox_ » 2008-07-02 18:18:41
тыкнуть носом неполучиться
так как фаер ваш нужно весь переписывать
начините с того что поставте правило allow from any to any
а потом уже добавляйте
и не добавляйте того что непониматет как оно работает
а fwd нужно на via out
если на то пошло
но это при правильном фаере
paradox_
-
JeaRmiX
- ефрейтор
- Сообщения: 51
- Зарегистрирован: 2008-06-10 11:08:12
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
JeaRmiX » 2008-07-02 18:28:20
paradox_ писал(а):
а fwd нужно на via out
Код: Выделить всё
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...
JeaRmiX
-
paradox_
- проходил мимо
Непрочитанное сообщение
paradox_ » 2008-07-02 18:32:56
все
марш ищи фаер
нечего угадыванием заниматься
paradox_
-
zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
-
Контактная информация:
Непрочитанное сообщение
zingel » 2008-07-02 18:42:21
Z301171463546 - можно пожертвовать мне денег
zingel
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
-
Контактная информация:
Непрочитанное сообщение
alex3 » 2008-07-03 8:27:40
вот для таких и нужна "идея" Лиссяры. Самому лень читать - за денюшку другие настроят.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
alex3
-
manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
-
Контактная информация:
Непрочитанное сообщение
manefesto » 2008-07-03 8:53:11
дайте денюжек...настрою
я такой яростный шо аж пизде
Ц
manefesto
-
Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
-
Контактная информация:
Непрочитанное сообщение
Alex Keda » 2008-07-03 9:34:05
проблема в том, что читать не хотят, учитсья новому хотят, но как-то старнно - не читая, рандомно тыкаясь и пытаяссь сделать.
психика травмированная M$ с мышиными интерфейсами...
Убей их всех! Бог потом рассортирует...
Alex Keda
-
manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
-
Контактная информация:
Непрочитанное сообщение
manefesto » 2008-07-03 10:06:16
я кстати ему свой рабочий конфиг сквида давал(он минимальный).
Топикстартер: кто будет писать???:
Код: Выделить всё
${FwCMD} add allow ip from any to any via lo0
Я один раз наткнулся.
Фарйвол начинай осваивать с написания небольших правил. Нахрапом не получится
я такой яростный шо аж пизде
Ц
manefesto