trable with ipfw (FreeBSD 7.0 p5)

[paradox]

хватит заниматься угадыванием)
почитай лучше

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Yam]

Есть догадка у меня насчет setup и keep-state:
если правила в которых они присутствуют позначают пакеты как SYN то в

Код: Выделить всё

harmless# cat /etc/rc.conf
keymap="ru.koi8-r"
ifconfig_nfe0="inet 10.0.0.1  netmask 255.255.255.0"
linux_enable="YES"
rpcbind_enable="YES"
sshd_enable="YES"
named_enable="NO"
named_flags="-u bind"
inetd_enable="YES"
hostname="harmless.bc-gold.kiev.ua"
ifconfig_rl0="inet 192.168.1.18  netmask 255.255.255.0"
router_flags="-q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"
defaultrouter="192.168.1.1"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u "
firewall_logging="YES"
[b]tcp_drop_synfin="YES"[/b]

будет отбрасывать ети пакеты???
Или я ошибаюсь?

Ну вы и юморите. Это не правила "позначают пакеты как SYN". На этапе инициации TCP соединения проходит обмен клиента и сервера пакетами в которых выставлен флаг SYN (бит такой), и если он есть то пакет проходит по правилу в котором указано пропускать пакеты setup, keep-state запишет временное правило в динамическую таблицу IPFW (на пальцах: создаст правило в котором будут поменяны местами ip адрес и порты источника и получателя пакета) средвами ipfw show его увидеть не получится, но оно существует в течении некоторого времени. SYN не единственный флаг, есть и другие. Такое поведение называется stateful firewall и rc.conf тут не причем, а tcp_drop_synfin указывает отбрасывать пакеты в которых одновременно выставлены флаги SYN и FIN (установка и завершения соединения). А начинать читать вам судя по всему нужно с описания протокола TCP, хотя бы с процедуры установки соединения, а затем man ipfw.

[harmless]

Б...я! Убейте меня люди!!
вот конфиги
/etc/firewall.conf

Код: Выделить всё

harmless# cat /etc/firewall.conf
#!/bin/sh

######################################
FwCMD="/sbin/ipfw "            # иcпoлняeмый бинapник IPFW
FwTable="/sbin/ipfw -q table " # кoммaндa table
LanOut="rl0"                   # внeшняя ceтeвaя кapтa
NetOut="192.168.1.0/24"        # внeшняя ceть
IpOut="192.168.1.18"          # внeшний IP
LanIn="nfe0"                    # внyтpeнняя ceтeвaя кapтa
NetIn="10.0.0.0/24"            # лoкaльнaя ceть
ip_lan="10.0.0"                # пpимep внyтpeнниx aдpecoв
IpIn="10.0.0.1"                # внyтpeнний IP
######################################
############### CLEAN ALL ###############
# cбpacывaeм вce пpaвилa
${FwCMD} -f flush
# cбpacывaeм вce тpyбы
${FwCMD} -f pipe flush
# cбpacывaeм вce oчepeди
${FwCMD} -f queue flush

################ Tables #################

for i in `grep "^[1-9]" /etc/tables/256`
do
    ${FwTable} 1 add ${i}
done

for i in `grep "^[1-9]" /etc/tables/512`
do
    ${FwTable} 2 add ${i}
done

for i in `grep "^[1-9]" /etc/tables/1024`
do
    ${FwTable} 3 add ${i}
done

for i in `grep "^[1-9]" /etc/tables/2048`
do
    ${FwTable} 4 add ${i}
done

for i in `grep "^[1-9]" /etc/tables/4096`
do
    ${FwTable} 5 add ${i}
done

for i in `grep "^[1-9]" /etc/tables/256` `grep "^[1-9]" /etc/tables/512` `grep "^[1-9]" /etc/tables/1024` `grep "^[1-9]" /etc/tables/2048` `grep "^[1-9]" /etc/tables/4096`
do
    ${FwTable} 0 add ${i}
done

# пpoвepяeм cтaтичecкyю тaблицy
${FwCMD} add check-state
# paзpeшaeм вce нa пeтлe
${FwCMD} add allow ip from any to any via lo0

# пoдcчитывaeм тpaфик ceти
${FwCMD} add count ip from ${NetIn} to any

# зaпpeщaeм пeтлe лeзть кyдaтo
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# зaпpeщaeм внyтpeнниe пaкeты нa внeшнeм интepфeйce
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
# зaпpeщaeм внeшниe пaкeты нa внyтpeннeм интepфeйce
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}
# pyбaeм чacтныe ceти кoтopыe лoмятcя cнapyжи
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}

#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# pyбaeм aвтoкoнфигypиpoвaннyю ceть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# pyбaeм мyльтикacт
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# pyбaeм фpaгмeнтиpoвaнныe icmp пaкeты
${FwCMD} add deny icmp from any to any frag
# pyбaeм мyльтикacт и пишeм в лoг
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# тpaнcляция ceтeвыx aдpecoв
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# pyбaeм чacтныe ceти
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}

${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# pyбaeм aвтoкoнфигypиpoвaннyю ceть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# pyбaeм мyльтикacт
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# icmp эxo-зaпpoc, эxo-oтвeт, вpeмя жизни пaкeтa иcтeклo
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# paзpeшaeм вxoдящий тpaфик ceти нa внyтpeннeм интepфeйce
#${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
# paзpeшaeм иcxoдящий тpaфик ceти нa внyтpeннeм интepфeйce
#${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}
# paзpeшaeм ycтaнoвлeнныe coeдинeния
${FwCMD} add allow tcp from any to any established
# DNS - 4
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
# cинxpoнизaцию вpeмeни
${FwCMD} add allow udp from any to any 123 via ${LanOut}
#  (TCP DNS)
${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup
# web
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup
# POP
${FwCMD} add allow tcp from any to ${IpOut} 110,25 via ${LanOut}
# мaccивный FTP
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# COUNTER-STRIKE
${FwCMD} add allow udp from any 27000-27025 to ${NetIn} in via ${LanOut}
${FwCMD} add allow udp from any 27000-27025 to ${NetIn} out via ${LanIn}
${FwCMD} add allow udp from ${NetIn} to any 27000-27025 in via ${LanIn}
${FwCMD} add allow udp from ${IpOut} to any 27000-27025 out via ${LanOut}
# блoкиpyeн вce и зaнocим в лoг
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup


############## PIPES TO FTP ##############

${FwCMD} queue 100 config pipe 100 weight 10 queue 20 mask dst-ip 0xffffffff
${FwCMD} queue 100 config pipe 100 weight 10 queue 20 mask src-ip 0xffffffff
${FwCMD} queue 1000 config pipe 1000 weight 50 queue 20 mask dst-ip 0xffffffff
${FwCMD} queue 1000 config pipe 1000 weight 50 queue 20 mask src-ip 0xffffffff


${FwCMD} add pipe 100 ip from ftp.bc-gold.kiev.ua 20,21 to ${NetIn}
${FwCMD} pipe 100 config bw 40Mbit/s queue 20 mask src-ip 0xffffffff
${FwCMD} add pipe 100 ip from ${NetIn} to ftp.bc-gold.kiev.ua 20,21
${FwCMD} pipe 100 config bw 40Mbit/s queue 20 mask dst-ip 0xffffffff

################# PIPES #################

###############  256Kbit/s ###############
${FwCMD} add pipe 1 ip from not ${NetIn} to table\(1\)
${FwCMD} pipe 1 config bw 256000bit/s queue 20 mask dst-ip 0xffffffff
${FwCMD} add pipe 2 ip from table\(1\) to not me
${FwCMD} pipe 2 config bw 256000bit/s queue 20 mask src-ip 0xffffffff 
###############  512Kbit/s ###############
${FwCMD} add pipe 3 ip from not ${NetIn} to table\(2\)
${FwCMD} pipe 3 config bw 512000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 4 ip from table\(2\) to not me
${FwCMD} pipe 4 config bw 512000bit/s mask src-ip 0xffffffff
################  1Mbit/s ################
${FwCMD} add pipe 5 ip from not ${NetIn} to table\(3\)
${FwCMD} pipe 5 config bw 1000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 6 ip from table\(3\)  to not me
${FwCMD} pipe 6 config bw 1000000bit/s mask src-ip 0xffffffff
################  2Mbit/s ################
${FwCMD} add pipe 7 ip from not ${NetIn} to table\(4\)
${FwCMD} pipe 7 config bw 2000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 8 ip from table\(4\) to not me
${FwCMD} pipe 8 config bw 2000000bit/s mask src-ip 0xffffffff
################ 4Mbit/s ################
${FwCMD} add pipe 9 ip from not ${NetIn} to table\(5\)
${FwCMD} pipe 9 config bw 4000000bit/s mask dst-ip 0xffffffff
${FwCMD} add pipe 10 ip from table\(5\) to not me
${FwCMD} pipe 10 config bw 4000000bit/s mask src-ip 0xffffffff

############## BEGIN  USERS ##############
${FwCMD} add allow tcp from table\(0\) to not ${NetIn} in via ${LanIn} setup #keep-state

############### END USERS ###############
###################################
# зaпpeщaeм вce и вceм
${FwCMD} add deny ip from any to any

/etc/rc.conf

Код: Выделить всё

harmless# cat /etc/rc.conf
keymap="ru.koi8-r"
ifconfig_nfe0="inet 10.0.0.1  netmask 255.255.255.0"
linux_enable="YES"
accounting_enable="YES"
lpd_enable="YES"
moused_enable="YES"
rpcbind_enable="YES"
sshd_enable="YES"
named_enable="YES"
named_flags="-u bind"
inetd_enable="YES"
hostname="harmless.bc-gold.kiev.ua"
ifconfig_rl0="inet 192.168.1.18  netmask 255.255.255.0"
router_flags="-q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"
defaultrouter="192.168.1.1"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u "
firewall_logging="YES"
mysql_enable="YES"

А вот вывод из фаервола

Код: Выделить всё

harmless# ipfw -at list
00100     0        0                         check-state
00200     0        0                         allow ip from any to any via lo0
00300  7026   379539 Fri Nov 14 16:55:32 2008 count ip from 10.0.0.0/24 to any
00400     0        0                         deny ip from any to 127.0.0.0/8
00500     0        0                         deny ip from 127.0.0.0/8 to any
00600     0        0                         deny ip from 10.0.0.0/24 to any in via rl0
00700     0        0                         deny ip from 192.168.1.0/24 to any in via nfe0
00800     0        0                         deny ip from any to 10.0.0.0/8 in via rl0
00900     0        0                         deny ip from any to 172.16.0.0/12 in via rl0
01000     0        0                         deny ip from any to 0.0.0.0/8 in via rl0
01100     0        0                         deny ip from any to 169.254.0.0/16 in via rl0
01200     2       56 Fri Nov 14 16:54:37 2008 deny ip from any to 224.0.0.0/4 in via rl0
01300     0        0                         deny ip from any to 240.0.0.0/4 in via rl0
01400     0        0                         deny icmp from any to any frag
01500     0        0                         deny log icmp from any to 255.255.255.255 in via rl0
01600     0        0                         deny log icmp from any to 255.255.255.255 out via rl0
01700  3413   178113 Fri Nov 14 16:55:32 2008 divert 8668 ip from 10.0.0.0/24 to any out via rl0
01800  4773  7089345 Fri Nov 14 16:55:32 2008 divert 8668 ip from any to 192.168.1.18 in via rl0
01900     0        0                         deny ip from 10.0.0.0/8 to any out via rl0
02000     0        0                         deny ip from 172.16.0.0/12 to any out via rl0
02100     0        0                         deny ip from 0.0.0.0/8 to any out via rl0
02200     0        0                         deny ip from 169.254.0.0/16 to any out via rl0
02300     0        0                         deny ip from 224.0.0.0/4 to any out via rl0
02400     0        0                         deny ip from 240.0.0.0/4 to any out via rl0
02500     0        0                         allow icmp from any to any icmptypes 0,8,11
02600 16539 14556108 Fri Nov 14 16:55:32 2008 allow tcp from any to any established
02700     0        0                         allow udp from any to 192.168.1.18 dst-port 53 in via rl0
02800     0        0                         allow udp from 192.168.1.18 53 to any out via rl0
02900     0        0                         allow udp from any 53 to 192.168.1.18 in via rl0
03000     0        0                         allow udp from 192.168.1.18 to any dst-port 53 out via rl0
03100     0        0                         allow udp from any to any dst-port 123 via rl0
03200     0        0                         allow tcp from any to 192.168.1.18 dst-port 53 in via rl0 setup
03300     0        0                         allow tcp from any to 192.168.1.18 dst-port 80 via rl0
03400     0        0                         allow tcp from any to 192.168.1.18 dst-port 22 in via rl0 setup
03500     0        0                         allow tcp from any to 192.168.1.18 dst-port 110,25 via rl0
03600     0        0                         allow tcp from any to 192.168.1.18 dst-port 49152-65535 via rl0
03700     0        0                         allow udp from any 27000-27025 to 10.0.0.0/24 in via rl0
03800     0        0                         allow udp from any 27000-27025 to 10.0.0.0/24 out via nfe0
03900     0        0                         allow udp from 10.0.0.0/24 to any dst-port 27000-27025 in via nfe0
04000     0        0                         allow udp from 192.168.1.18 to any dst-port 27000-27025 out via rl0
04100     0        0                         deny log tcp from any to 192.168.1.18 in via rl0 setup
04200     5      240 Fri Nov 14 16:53:00 2008 allow tcp from 192.168.1.18 to any out via rl0 setup
04300     0        0                         allow tcp from any to 192.168.1.18 in via nfe0 setup
04400     0        0                         pipe 100 ip from 91.192.153.82 20,21 to 10.0.0.0/24
04500     0        0                         pipe 100 ip from 10.0.0.0/24 to 91.192.153.82 dst-port 20,21
04600     0        0                         pipe 1 ip from not 10.0.0.0/24 to table(1)
04700    21     1468 Fri Nov 14 16:55:31 2008 pipe 2 ip from table(1) to not me
04800     0        0                         pipe 3 ip from not 10.0.0.0/24 to table(2)
04900     0        0                         pipe 4 ip from table(2) to not me
05000     0        0                         pipe 5 ip from not 10.0.0.0/24 to table(3)
05100     0        0                         pipe 6 ip from table(3) to not me
05200     0        0                         pipe 7 ip from not 10.0.0.0/24 to table(4)
05300     0        0                         pipe 8 ip from table(4) to not me
05400     0        0                         pipe 9 ip from not 10.0.0.0/24 to table(5)
05500     0        0                         pipe 10 ip from table(5) to not me
05600     5      240 Fri Nov 14 16:53:00 2008 allow tcp from table(0) to not 10.0.0.0/24 in via nfe0 setup
05700    23     1641 Fri Nov 14 16:55:32 2008 deny ip from any to any
65535     2      156 Fri Nov 14 16:39:15 2008 deny ip from any to any

и

Код: Выделить всё

harmless# ipfw pipe list
00001: 256.000 Kbit/s    0 ms   20 sl. 0 queues (64 buckets) droptail
00002: 256.000 Kbit/s    0 ms   20 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 16 ip          10.0.0.8/0             0.0.0.0/0       43     2791  0    0   0
00100:  40.000 Mbit/s    0 ms   20 sl. 0 queues (64 buckets) droptail
00003: 512.000 Kbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00004: 512.000 Kbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00005:   1.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00006:   1.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00007:   2.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00008:   2.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00009:   4.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
00010:   4.000 Mbit/s    0 ms   50 sl. 0 queues (64 buckets) droptail
q00100: weight 10 pipe 100   20 sl. 0 queues (64 buckets) droptail
q01000: weight 50 pipe 1000   20 sl. 0 queues (64 buckets) droptail

В чем прокол!????
Вот еще

Код: Выделить всё

harmless# ipfw table 0 list
10.0.0.8/32 0
10.0.0.9/32 0

Почему не шейпит а пускает весь канал на всех!!???????????????

[harmless]

Что никто не сталкивался!?
Дайте ссылку на нормальную книжку или что-нибудь!

[paradox]

хизел любит с пайпами играться
видать не в настроении был если неответил или незаметил темы

[harmless]

Спасибо что откликнулся!
Дело вообще в том что как-то странно они себя ведут:
раньше все было нормально при такой конфигурации(на старой машине) а теперь вот гемор такой

[harmless]

Всем спасибо сам все понял!!!!
На днях напишу статью для таких как я(для ограничения скорости в корпоративны сетях!)

[dikens3]

Смысл понятен только не совсем до конца!
Вот одно уже чуток понятно про setup и keep-state
Спасибо за разяснения!

Рекомендую. Очень много полезного про setup, keep-state и не только. Мозг вправляет конкретно.. Если поймёшь конечно. :-)
http://nuclight.livejournal.com/124348.html

[harmless]

Смысл понятен только не совсем до конца!
Вот одно уже чуток понятно про setup и keep-state
Спасибо за разяснения!

Рекомендую. Очень много полезного про setup, keep-state и не только. Мозг вправляет конкретно.. Если поймёшь конечно. :-)
http://nuclight.livejournal.com/124348.html

Спасибо!
Почитаю

[Zar]

Смысл понятен только не совсем до конца!
Вот одно уже чуток понятно про setup и keep-state
Спасибо за разяснения!

Рекомендую. Очень много полезного про setup, keep-state и не только. Мозг вправляет конкретно.. Если поймёшь конечно. :-)
http://nuclight.livejournal.com/124348.html

Спасибо!
Почитаю

и где статья?

[harmless]

Смысл понятен только не совсем до конца!
Вот одно уже чуток понятно про setup и keep-state
Спасибо за разяснения!

Рекомендую. Очень много полезного про setup, keep-state и не только. Мозг вправляет конкретно.. Если поймёшь конечно. :-)
http://nuclight.livejournal.com/124348.html

Спасибо!
Почитаю

и где статья?

http://forum.lissyara.su/viewtopic.php?f=3&t=12525