Ворос по IPFW

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
alex117
ст. сержант
Сообщения: 370
Зарегистрирован: 2010-07-30 13:25:13

Ворос по IPFW

Непрочитанное сообщение alex117 » 2013-02-22 11:37:50

У лисяры в статье по ipfw есть такой пункт:
# рубим траффик к частным сетям через внешний интерфейс

Код: Выделить всё

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
Правильно ли я понимаю логику этой строчки, т.е запрещаем все пакеты из внешней подсети 10.0.0.0/8 к нашей, выходящие из интерфейса LanOut?
Тогда почему лисяра пишет траффик К частным сетям, а не ОТ?
Ведь написано же ip from 10.0.0.0/8 to any?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: Ворос по IPFW

Непрочитанное сообщение harmless » 2013-02-22 11:52:13

Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut

Аватара пользователя
alex117
ст. сержант
Сообщения: 370
Зарегистрирован: 2010-07-30 13:25:13

Re: Ворос по IPFW

Непрочитанное сообщение alex117 » 2013-02-22 12:00:58

harmless писал(а):Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut
Т.е для пакетов, приходящих из вне на интерфейс нужно писать

Код: Выделить всё

.......out via ${iface}
,
а для исходящих из нашей сети через него

Код: Выделить всё

.......in via ${iface} ?

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: Ворос по IPFW

Непрочитанное сообщение harmless » 2013-02-22 12:11:06

Логика хромает у вас.
Есть направления исходящее(out) и входящее(in) на интерфейсе.
Если у вас на одном интерфейсе пакеты входящие то на другом они уже будут исходящие!

Аватара пользователя
alex117
ст. сержант
Сообщения: 370
Зарегистрирован: 2010-07-30 13:25:13

Re: Ворос по IPFW

Непрочитанное сообщение alex117 » 2013-02-22 12:13:35

я просто почитал полное описание по ipfw и еще больше запутался.

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: Ворос по IPFW

Непрочитанное сообщение harmless » 2013-02-22 12:15:38

alex117 писал(а):я просто почитал полное описание по ipfw и еще больше запутался.
Там в мане есть очень красивая схема - вот по ней все понятно

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Ворос по IPFW

Непрочитанное сообщение FreeBSP » 2013-02-22 13:11:16

пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222

Код: Выделить всё

(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)

ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2

# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in  via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24

# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24

# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in  via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24

# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24

# остальное впень
$ipfw add deny  ip from any to any
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
alex117
ст. сержант
Сообщения: 370
Зарегистрирован: 2010-07-30 13:25:13

Re: Ворос по IPFW

Непрочитанное сообщение alex117 » 2013-02-22 15:44:55

FreeBSP писал(а):пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222

Код: Выделить всё

(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)

ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2

# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in  via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24

# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24

# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in  via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24

# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24

# остальное впень
$ipfw add deny  ip from any to any
Спасибо, теперь многое стало понятно, просто путался с интерфейсами - куда приходит, откуда выходит.
Проще разбираться стало когда нарисовал схему шлюза с двумя карточками.