Вопрос про приложения на прокси

[Порт]

Доброго дня.
Только начинаю заниматься фрей, пытаюсь поднять прокси.
Вопрос такого плана: какие приложения должный стоять на прокси? На данный момент у меня стоят: apache, mysql, php, squid, sams. Что еще необходимо иметь?
Он будет выполнять только роль шлюза, не более того

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Amadeus]

Этого более чем достаточно, даже больше чем,
вообще достаточно было бы даже squid+sarg например

[zeus4all]

+1 вполне хватает sarga к squid'у.

[Порт]

И вновь это я.
Нарисовал конфиг для файервола (что-то содрал, что-то мое) и все равно меня не пускает. Можете посмотреть, что не правильно сделал?

Код: Выделить всё

proxy# uname -v
FreeBSD 8.1-STABLE #0: Tue Aug 10 14:16:27 MSD 2010     ..........:/usr/obj/usr/src/sys/MYKERNEL

Ядро собрано с опциями:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"

rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Mon Aug  9 11:00:15 2010
#defaultrouter="10.68.145.1"
keymap="ru.koi8-r"
moused_enable="YES"
sshd_enable="YES"
ifconfig_em1="inet 1.1.19.90  netmask 255.255.255.248"
ifconfig_em0="inet 10.68.145.253  netmask 255.255.255.0"
defaultrouter="1.1.19.89"
hostname="proxy.aaaa.local"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
gateway_enable="YES"
firewall_script="/etc/firewall.rules"
mysql_enable="YES"
apache22_enable="YES"
#squid_enable="YES"

И сами правила ipfw

Код: Выделить всё

########################ПЕРЕМЕННЫЕ#########################################
#!/bin/sh
FwCMD="/sbin/ipfw -q"
LanOut="em1" #внешний интерфейс
LanIn="em0" #внутренний
IpOut="1.1.19.90" #внешний ИП
IpIn="10.68.145.253" #внутренний ИП
NetMask="24" #маска
NetIn="10.68.145.0" #внутренняя сеть

${FwCMD} flush
${FwCMD} add 100 check-state
# пропускаем траффик через трансляцию сетевых адресов (NAT)
#
#
${FwCMD} add 200 allow ip from any to any via lo0 #разрешаем трафик через петлю
${FwCMD} add 300 deny ip from any to 127.0.0.0/8 # рубит lo0.
${FwCMD} add 400 deny ip from 127.0.0.0/8 to any #
#запрещают вход и выход по нетбиосу
${FwCMD} add 405 deny tcp from any to any 135-139 via em1
${FwCMD} add 407 deny tcp from any 135-139 to any
#Вводим запреты, рубим частные сeти
${FwCMD} add 500 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add 600 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add 800 deny ip from any to 0.0.0.0/8 in via ${LanOut}
#Рубим автоконфигуренную частную сеть
${FwCMD} add 900 deny ip from any to 169.254.0.0/16 in via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 1000 deny ip from any to 240.0.0.0/4 in via ${LanOut}
#рубим фрагментированные icmp
${FwCMD} add 1100 deny icmp from any to any frag
#рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add 1200 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add 1300 deny log icmp from any to 255.255.255.255 out via ${LanOut}
############### собственно сам файрволл#########################################
#рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add 1800 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add 1900 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add 2100 deny ip from 0.0.0.0/8 to any out via ${LanOut}
#рубим автоконфигуреную частную сеть
${FwCMD} add 2200 deny ip from 169.254.0.0/16 to any out via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 2400 deny ip from 240.0.0.0/4 to any out via ${LanOut}
#разрешаем все установленные соединения
${FwCMD} add 2500 allow tcp from any to any established
#разрешаем весь исходящий траффик
${FwCMD} add 2600 allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи
${FwCMD} add 2755 allow udp from any to any 53 via ${LanOut}
${FwCMD} add 2756 allow udp from any 53 to any via ${LanOut}
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3100 allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3200 allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3300 allow icmp from any to any via ${LanIn}
${FwCMD} add 3475 allow tcp from any to any out via ${LanOut} setup keep-state
# разрешаем SSH
${FwCMD} add allow tcp from any to ${IpOut} 2220 in via ${LanOut} setup
# открываем снаружи 20,21 порт - для активного FTP
${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
# пассивный FTP
${FwCMD} add allow tcp from any to ${IpOut} 10000-65535 via ${LanOut}
# Запрещаем все остальное
${FwCMD} add 65000 allow all from any to any
proxy#

SSH висит на 2220 порту

Код: Выделить всё

proxy# ipfw show
65535 4858 426091 deny ip from any to any
proxy#

[manefesto]

вполне хватит ната

[Порт]

Правил НАТа там еще нет - не придумал как написать правильно
Думаю, что наверное так:

Код: Выделить всё

ipfw nat 123 config ip 1.1.1.19 log same_ports 

Вопрос в том, что она меня по SSH даже не пускает, не из локалки, не из внешнего мира. Приходится останавливать файер и работать так. В чем я неправильно написал конфиг файервола?

[dmtr]

а скрипт файрвола запускался вообще?

вывод

Код: Выделить всё

proxy# ipfw show
65535 4858 426091 deny ip from any to any
proxy#

означает что действует только одно правило - запретить всем всё.

[Порт]

В rc.conf он прописан.
А как в таком случае его запустить?

[Порт]

Никто не подскажет?

[Bacek_92]

Есть файл

Код: Выделить всё

/etc/rc.firewall

Можна написать правила фаервола в rc.local
Например

Код: Выделить всё

ipfw add 65000 allow ip from any to any

Нада прокся - читай статью на сайте - все нормально написано. И потом надо думать самому что делаешь, а то натворишь дел....

[vadim64]

ман официальный поситайте чтоб не было таких листингов и вопросов как у вас. http://www.freebsd.org/doc/handbook/firewalls-ipfw.html

[Порт]

Лучше бы сказали, что не правильно
Ман читал, хотя он немного и устарел

[vadim64]

как минимум нету

Код: Выделить всё

firewall_enable="YES"

в /etc/rc.conf

[Порт]

Уже есть - мое упущение.
После перезагрузки так и не взлетело.... Пришлось опять файер гасить

[vadim64]

какой ща вы вывод от команды

Код: Выделить всё

ipfw show

???????

[Aligarh]

А я, щас, наверное, угадаю: право на исполнение у скрипта с правилами файрвола есть?

[Порт]

А вот и не угадали
Мой косяк - в ssh по ошибке прописал порт 2222 вместо 2220
И последний вопрос: Как правильно правило НАТ-а прописать?
Всем спасибо за участие

[vadim64]

А вот и не угадали
Мой косяк - в ssh по ошибке прописал порт 2222 вместо 2220

to Aligarh, тренируйся в телепатии

И последний вопрос: Как правильно правило НАТ-а прописать?
Всем спасибо за участие

1. Ага, щас, последний)))
2. Что вы хотите чтоб нат делал?

[Порт]

1. Ага, щас, последний)))
2. Что вы хотите чтоб нат делал?

1. А что еще неправильно? Если посмотреть профессиональным взглядом на правила файервола?
2. Нужно будет делать редирект портов для клиент-банка и хочется еще rdp пробросить на локальную машину, что бы когда позвонят среди ночи, можно было удаленно посмотреть что нетак и не обьяснять часами юзверям, что надо сделать

[vadim64]

Нужно будет делать редирект портов для клиент-банка и хочется еще rdp пробросить на локальную машину, что бы когда позвонят среди ночи, можно было удаленно посмотреть что нетак и не обьяснять часами юзверям, что надо сделать

Задача настолько распространённая, что неприлично задавать по ней вопросы. На сайте и форуме просто уйма решений и примеров!