вопрос по ipfw

Michael /780

Доброго времени суток!

Как запретить натить шлюзу FreeBSD 6.2 с ipfw + NATd определенные частные сети? Т.е. чтобы локальные запросы между сетями шлюза не натились.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Michael /780

Че-то видимо торможу..

Код: Выделить всё

 ipfw add 100 from 192.168.10.0/24 to 192.168.20.0/24 in via fxp0

192.168.10.1 = fxp0
192.168.20.1 = fxp1

Так что-ли выходит?

zar0ku1 · Непрочитанное сообщение **zar0ku1** » 2008-12-23 5:27:19

Michael /780 писал(а):Че-то видимо торможу..
Код: Выделить всё
 ipfw add 100 from 192.168.10.0/24 to 192.168.20.0/24 in via fxp0

192.168.10.1 = fxp0
192.168.20.1 = fxp1
Так что-ли выходит?

Код: Выделить всё

ipfw add deny all from 192.168.10.0/24 to 192.168.20.0/24

Интерфейс,если не играет роли указывать необязательно

Michael /780

Ну я же не писал что нужно запретить все между сетями... Локальные запросы между сетями нужны конечно.... А эти запросы заворачиваются на НАТ и хрен знает куда уходят :-)

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 8:47:41

Как запретить натить шлюзу FreeBSD 6.2 с ipfw + NATd определенные частные сети? Т.е. чтобы локальные запросы между сетями шлюза не натились

в кажом случае по разному
все зависит от построения фервола

Michael /780

Нужно именно не натить эту сеть...

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 8:57:40

в кажом случае по разному
все зависит от построения фервола

Код: Выделить всё

ipfw show

Michael /780

Код: Выделить всё

gateway1# ipfw show
00010       0          0 check-state
00011       0          0 allow icmp from any to any in icmptypes 5,9,13,14,15,16,17
00012       0          0 reject ip from 192.168.10.0/24 to any in via xl0
00013   48538   14626156 deny ip from any to 255.255.255.255 via xl0
00014    1107     275880 deny ip from any to 255.255.255.255 via fxp0
00016    2582     299945 deny udp from any to any dst-port 137,138 via xl0
00100    2048     128736 allow ip from any to any via lo0
00101 2934350 1903756850 allow ip from me to any via xl0 keep-state
00121       0          0 allow udp from 192.168.200.1 to me dst-port 53 in via xl0
00499       0          0 allow ip from 192.168.10.0/24 to 192.168.20.0/24 via fxp0,fxp1
00500       0          0 deny ip from 192.168.10.0/24 to 192.168.20.0/24 via xl0
00990  556985   90904255 fwd 192.168.10.1,3128 tcp from 192.168.10.0/24 to any dst-port 80 via xl0
00995   86776   15871807 divert 8668 ip from any to any via xl0
01004  159245   20336285 allow ip from 192.168.10.15 to any in via fxp0
01005  238834  268056869 allow ip from any to 192.168.10.15
01040 1036541  172188858 allow ip from 192.168.10.0/24 to any dst-port 53,80,443,8000,3128,3274 via fxp0
01050 6101624 5996084986 allow ip from any to 192.168.10.0/24
01090   25821    2421627 allow ip from 192.168.15.2 to any out via xl0
65534   25769    2378882 deny log logamount 10 ip from any to any
65535   54807    4133414 deny ip from any to any

xl0 - внешний интерфейс
fxp0, fxp1 - внутренние

Из сети fxp0 нужно получать в сеть fxp1 доступ и наоборот. Главное чтобы запросы в частные сети из fxp0, fxp1 не натились наружу.

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 9:16:26

вставь начиная с 300 правила

Код: Выделить всё

pass all from fxp0/net to fxp1/net
pass all from fxp1/net to fxp0/net

fxp1/net fxp0/net
это сети ip/net

Michael /780

У меня же ipfw... не pf...

Michael /780

вот это правило похоже, нет?

Код: Выделить всё

allow ip from 192.168.10.0/24 to 192.168.20.0/24 via fxp0,fxp1

Michael /780

Понял. Был неправ. Но запросы все-равно натятся.

Код: Выделить всё

000300       9        828 allow ip from 192.168.10.0/24 to 192.168.20.0/24

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 9:30:15

У меня же ipfw... не pf...

я для ipfw и привел правила
почитайте внимательно

allow ip from 192.168.10.0/24 to 192.168.20.0/24 via fxp0,fxp1

сомнительное правило
односторонее
да и к томуже я такой via неиспользовал потому незнаю как оно сработает

а еще лучше те правила что я дал вместо 300 вставте начиная с 99

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 9:32:48

перед 995 поставь

Код: Выделить всё

deny all from твоялокалнеткоторуюзапрещаешьдоната to any in recv xl0

Michael /780

Согласен.. убрал левое правило. И повыше поднял это правило:

Код: Выделить всё

00099      18       1656 allow ip from 192.168.10.0/24 to 192.168.20.0/24

Все равно натит блин...

Michael /780

Код: Выделить всё

00994       0          0 deny ip from 192.168.20.0/24 to any in recv xl0

Натит!

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 9:44:51

Натит!

ipfw show

hizel · Непрочитанное сообщение **hizel** » 2008-12-23 9:47:03

обмен между двумя внутренними сетями никак не затрагивает xl0

Michael /780

Код: Выделить всё

gateway1# ipfw sh
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
00010       0          0 check-state
00011       0          0 allow icmp from any to any in icmptypes 5,9,13,14,15,16,17
00012       0          0 reject ip from 192.168.10.0/24 to any in via xl0
00013   49060   14783476 deny ip from any to 255.255.255.255 via xl0
00014    1156     285337 deny ip from any to 255.255.255.255 via fxp0
00016    2609     302966 deny udp from any to any dst-port 137,138 via xl0
00099      54       4968 allow ip from 192.168.10.0/24 to 192.168.20.0/24
00100    2096     131712 allow ip from any to any via lo0
00101 3232266 2096081884 allow ip from me to any via xl0 keep-state
00121       0          0 allow udp from 192.168.200.1 to me dst-port 53 in via xl0
00500       0          0 deny ip from 192.168.10.0/24 to 192.168.20.0/24 via xl0
00990  571712   93491485 fwd 192.168.10.1,3128 tcp from 192.168.10.0/24 to any dst-port 80 via xl0
00994       0          0 deny ip from 192.168.20.0/24 to any in recv xl0
00995   92440   16546481 divert 8668 ip from any to any via xl0
01004  161375   20808884 allow ip from 192.168.10.15 to any in via fxp0
01005  241700  270780914 allow ip from any to 192.168.10.15
01040 1182841  193985221 allow ip from 192.168.10.0/24 to any dst-port 53,80,443,8000,3128,3274 via fxp0
01050 6295528 6177957655 allow ip from any to 192.168.10.0/24
01090   26874    2692760 allow ip from 192.168.15.2 to any out via xl0
65534   30007    2640045 deny log logamount 10 ip from any to any
65535   54807    4133414 deny ip from any to any
gateway1#

Michael /780

2 hizel: обмен между двумя внутренними сетями заворачивается на nat и уходит наружу

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 9:54:45

Код: Выделить всё

00099      54       4968 allow ip from 192.168.10.0/24 to 192.168.20.0/24

это одно
а где обратное?
может опять перечитаешь мой пример что я сказал добавить?

Michael /780

Виноват... обратное не добавил...

00098 12 1104 allow ip from 192.168.10.0/24 to 192.168.20.0/24
00099 0 0 allow ip from 192.168.20.0/24 to 192.168.10.0/24

Michael /780

Код: Выделить всё

gateway1# ipfw sh
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
00010       0          0 check-state
00011       0          0 allow icmp from any to any in icmptypes 5,9,13,14,15,16,17
00012       0          0 reject ip from 192.168.10.0/24 to any in via xl0
00013   49060   14783476 deny ip from any to 255.255.255.255 via xl0
00014    1156     285337 deny ip from any to 255.255.255.255 via fxp0
00016    2609     302966 deny udp from any to any dst-port 137,138 via xl0
00098 12 1104 allow ip from 192.168.10.0/24 to 192.168.20.0/24
00099 0 0 allow ip from 192.168.20.0/24 to 192.168.10.0/24
00100    2096     131712 allow ip from any to any via lo0
00101 3232266 2096081884 allow ip from me to any via xl0 keep-state
00121       0          0 allow udp from 192.168.200.1 to me dst-port 53 in via xl0
00500       0          0 deny ip from 192.168.10.0/24 to 192.168.20.0/24 via xl0
00990  571712   93491485 fwd 192.168.10.1,3128 tcp from 192.168.10.0/24 to any dst-port 80 via xl0
00994       0          0 deny ip from 192.168.20.0/24 to any in recv xl0
00995   92440   16546481 divert 8668 ip from any to any via xl0
01004  161375   20808884 allow ip from 192.168.10.15 to any in via fxp0
01005  241700  270780914 allow ip from any to 192.168.10.15
01040 1182841  193985221 allow ip from 192.168.10.0/24 to any dst-port 53,80,443,8000,3128,3274 via fxp0
01050 6295528 6177957655 allow ip from any to 192.168.10.0/24
01090   26874    2692760 allow ip from 192.168.15.2 to any out via xl0
65534   30007    2640045 deny log logamount 10 ip from any to any
65535   54807    4133414 deny ip from any to any
gateway1#

не врубаюсь блин... натит локальные запросы внутренних сетей...

paradox · Непрочитанное сообщение **paradox** » 2008-12-23 10:09:04

натит локальные запросы внутренних сетей...

что значит натит?
покажи как это по твоему выглядит

Michael /780

Делаю из сети 192.168.10.ip тупо tracert в сеть 192.168.20.ip и вижу ответ от узла чужой сети... Из сего делаю вывод что запросы в сеть 192.168.20.0/24 заворачиваются наружу (читай НАТятся) и ответ приходит снаружи.
Скажу больше: я на 100% уверен что именно этот узел чужой сети находится снаружи.

forum.lissyara.su

вопрос по ipfw

вопрос по ipfw

Услуги хостинговой компании Host-Food.ru

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw

Re: вопрос по ipfw