forum.lissyara.su

Добавлено: **2008-12-01 13:35:24**

Не работают правила фаервола... (( Внутри сети всё нормально. Из вне нет доступа к серверу по ssh и т.д. Где нагрешил?

сервер с самой и сквидом. Без домена. две сетевухи.
em0 - WAN 192.168.50.170
xl0 - LAN 192.168.1.1

собирал ядро с

Код: Выделить всё

ident           ROUTER
makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols
options         IPFIREWALL                       
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT 
options         IPDIVERT                     
options         IPFIREWALL_FORWARD           
options         DUMMYNET

rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/rules"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"

/etc/rules

Код: Выделить всё

#!/bin/sh

ipfw -q -f flush

cmd=”ipfw -q add”
skip=”skipto 400?
wanip=”192.168.50.170? # внешний IP
lannet=”192.168.1.0/24? # внутренняя сеть
eif=”em0? # внешний интерфейс

$cmd 010 allow all from any to any via em0

$cmd 020 allow all from any to any via lo0

$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any

$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif

$cmd 060 divert natd ip from any to any in via $eif

$cmd 070 check-state

############## Outgoing ################

$cmd 100 $skip icmp from any to any keep-state

$cmd 105 $skip udp from any to any 123 out via $eif keep-state

$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state

$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state

$cmd 190 $skip all from $wanip to any out via $eif setup keep-state

############# Incoming ################

$cmd 200 deny all from 192.168.0.0/16  to any in via $eif  #RFC 1918 private IP
$cmd 201 deny all from 172.16.0.0/12   to any in via $eif  #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8      to any in via $eif  #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8     to any in via $eif  #loopback
$cmd 204 deny all from 0.0.0.0/8       to any in via $eif  #loopback
$cmd 205 deny all from 169.254.0.0/16  to any in via $eif  #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24    to any in via $eif  #reserved for docs
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif  #Sun cluster
$cmd 208 deny all from 224.0.0.0/3     to any in via $eif  #Class D & E multicast

$cmd 215 deny tcp from any to any 113 in via $eif

$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81  in via $eif

$cmd 300 allow icmp from any to $wanip in via $eif icmptypes 0,8,11 limit src-addr 2

$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2

$cmd 320 allow tcp from any to $wanip 22 in via $eif setup limit src-addr 2

$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2

$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2

$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2

$cmd 360 allow all from any to any established

########### Final ###############
$cmd 399 deny log all from any to any
$cmd 400 divert natd ip from any to any out via $eif
$cmd 410 allow all from any to any
$cmd 999 deny log all from any to any

Добавлено: **2008-12-02 17:55:16**

нашёл ошибку... сейчас правила работаю.
Но когда хочу разрешить интернет пользователям без squid по правилам

fw# ipfw list
00100 allow ip from any to any
65535 allow ip from any to any

Интернет к юзерам не поступает (( У юзеров Пингуется только внешний ип машины....

В настройках сети шлюзом стоит ип адрес сетевухи фряхи которая смотрит в локалку. А днс стоит внешний провайдера...

Помогите поджалуйста.
Как раздать инет пользователям без ограничений....

Добавлено: **2008-12-02 18:39:24**

как же он у вас без NAT будет в интернет пущать?

Добавлено: **2008-12-02 19:40:07**

эм... Я думал это строчка в rc включит нат.
natd_enable="YES"
natd_interface="em0"

Как его включить? )

Добавлено: **2008-12-02 20:25:36**

Код: Выделить всё

$cmd 060 divert natd ip from any to any in via $eif
$cmd 400 divert natd ip from any to any out via $eif

Добавлено: **2008-12-02 20:37:55**

$cmd 399 deny log all from any to any
$cmd 400 divert natd ip from any to any out via $eif

ммдааа

тогда уже

$cmd 060 divert natd ip from any to any in via $eif

IN убери и все

Добавлено: **2008-12-02 20:45:36**

Всёравно не хотит ((( С вот такими правилами.

Код: Выделить всё

# Исходящий NTP
$cmd 105 $skip udp from any to any 123 out via $eif keep-state

# Разрешаем DNS
$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state

# Выпускаем пользователей в обход сквида
$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state
$cmd 171 $skip all from $lannet to any 80 out via $eif setup keep-state

# Разрешаем полный выход с сервака
$cmd 190 $skip all from $wanip to any out via $eif setup keep-state
#!/bin/sh
# при работе по SSH, чтобы перечитать конфиг набирать nohup sh /etc/rules

# Прежде, чем мы начнем, сбросим список
ipfw -q -f flush

# Установим префикс команды для набора правил
cmd="ipfw -q add"
skip="skipto 400"
wanip="192.168.0.7" # внешний IP
lannet="192.168.0.0/24" # внутренняя сеть
eif="em1" # внешний интерфейс

# Нет запретов внутри интерфейса смотрящего в локальную сеть
$cmd 010 allow all from any to any via em0

# Нет ограничений на Loopback интерфейсе
$cmd 020 allow all from any to any via lo0

# Рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any

# отправляем всех на прозрачный squid
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif

# Входящий NAT
$cmd 060 divert natd ip from any to any in via $eif
$cmd 400 divert natd ip from any to any out via $eif

# Позволяем пакету проходить, если предыдущий был добавлен в
# .динамическую. таблицу правил с разрешением состояния keep-state
$cmd 070 check-state

############## Outgoing ################

# Исходящий PING
$cmd 100 $skip icmp from any to any keep-state
############# Incoming ################

# Запрещаем весь входящий трафик из зарезервированных адресных пространств
$cmd 201 deny all from 172.16.0.0/12   to any in via $eif  #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8      to any in via $eif  #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8     to any in via $eif  #loopback
$cmd 204 deny all from 0.0.0.0/8       to any in via $eif  #loopback
$cmd 205 deny all from 169.254.0.0/16  to any in via $eif  #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24    to any in via $eif  #reserved for docs
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif  #Sun cluster
$cmd 208 deny all from 224.0.0.0/3     to any in via $eif  #Class D & E multicast
# Запрещаем ident
$cmd 215 deny tcp from any to any 113 in via $eif

# Запрещаем весь сервис Netbios. 137=имя, 138=дейтаграмма, 139=сессия
$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81  in via $eif

# Входящий пинг, несколько типов
$cmd 300 allow icmp from any to $wanip in via $eif icmptypes 0,8,11 limit src-addr 2

# Разрешаем входящую www функцию, если есть вэб сервер
$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2

# Разрешаем входящие безопасные SSH, номер порта лучше сменить
$cmd 320 allow tcp from any to $wanip 22 in via $eif setup limit src-addr 2

# Разрешаем входящую почту SMTP, если есть почтовый сервер
$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2

# Разрешаем входящую почту POP3, если есть почтовый сервер
$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2

# Разрешаем RAdmin, номер порта лучше сменить
$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2

# Разрешаем уже установленные соединения
$cmd 360 allow all from any to any established

########### Final ###############

# рубим все, что не ушло в скип
$cmd 399 deny log all from any to any

# Исходящий NAT
$cmd 400 divert natd ip from any to any out via $eif

# Выпускаем пакеты из скипа
$cmd 410 allow all from any to any

# Режем все лишнее с занесением в лог
$cmd 999 deny log all from any to any

Добавлено: **2008-12-02 20:50:41**

тебе доступ из вне по ссш?

$cmd 015 allow all from any to any via em1

и все

Добавлено: **2008-12-02 20:52:44**

Мне бы доступ из вне по ssh и что бы юзеры в локалке могли бы выходить в инет без сквида...

Добавлено: **2008-12-02 20:57:09**

# отправляем всех на прозрачный squid
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif

с таким правилом они точно без сквида не выйдут

тогда убей весь фаервол
и оставь в нем
диверт алл
пасс алл
и все будет пахать

Добавлено: **2008-12-02 21:03:11**

Код: Выделить всё

$cmd 060 divert natd ip from any to any in via  any
$cmd 060 divert natd ip from any to any out via  any
$cmd 051 pass ip from any to any

Не пахает. Пингует только WAN и LAN

Добавлено: **2008-12-02 21:07:01**

$cmd 060 divert natd ip from any to any via внешний интервейс
$cmd 051 pass ip from any to any

ps ax | grep natd

Добавлено: **2008-12-02 21:10:17**

Код: Выделить всё

#!/bin/sh
# при работе по SSH, чтобы перечитать конфиг набирать nohup sh /etc/rules

# Прежде, чем мы начнем, сбросим список
ipfw -q -f flush

# Установим префикс команды для набора правил
cmd="ipfw -q add"
skip="skipto 400"
wanip="192.168.0.7" # внешний IP
lannet="192.168.0.0/24" # внутренняя сеть
eif="em1" # внешний интерфейс

$cmd 060 divert natd ip from any to any via eif
$cmd 051 pass ip from any to any

Код: Выделить всё

firewall# nohup sh /etc/rules
firewall# ps ax | grep natd
  607  ??  Is     0:00,16 /sbin/natd -n em1

После редактирования правил /etc/rules применяю их коммандой nohup sh /etc/rules

Непашет (((((((((

Добавлено: **2008-12-02 21:12:52**

конфиг натд где?

Код: Выделить всё

log             no
deny_incoming   no
use_sockets     yes
same_ports      yes
verbose         no
unregistered_only       yes

гетевей енейбл есть ?
девоулт роут проверил?

Добавлено: **2008-12-02 21:21:47**

paradox писал(а):конфиг натд где?
гетевей енейбл есть ?
девоулт роут проверил?

Как такового конфига натд небыло.

Вписал в rc.conf

Код: Выделить всё

natd_flags="-f /etc/natd.conf"

Создал файл etc/natd.conf

Код: Выделить всё

firewall# cat /etc/natd.conf
interface em1
log             no
deny_incoming   no
use_sockets     yes
same_ports      yes
verbose         no
unregistered_only       yes

Перезагрузился... инет на хр так и непашет. Продолжает пинговать только Lan и Wan

Про гейтвей и дефаулт роут непонятно....

Добавлено: **2008-12-02 21:25:36**

rc.conf

Код: Выделить всё

# routing ############

gateway_enable="YES"
defaultrouter="айпишник модема"

Добавлено: **2008-12-02 21:28:26**

defaultrouter="192.168.0.1" был.
gateway_enable="YES" небыло.

добавил. Заработало!!!
СПАСИБО!!!!!!!!!!!! Вы меня спасли....
Сейчас буду правила выстраивать )

Добавлено: **2008-12-02 21:30:25**

ммда
сделай поиск по форуму
сколько таких тем с гетевейенейбл

Добавлено: **2008-12-02 21:31:33**

Дык я по мануалам и по манулам )) учту.
Ещё раз спасибо.

Добавлено: **2008-12-02 21:46:18**

хм.... новая проблема )) Использую самый первый конфиг....На Wan соединение правила отлично работают,
А вот LAN.... он по прежнему раздаёт весь инет юзерам. Хотя там же нет правила натд на 80 и 21 порт....

Добавлено: **2008-12-02 21:51:18**

у тебя натд дивертит протоколы а не порты
вообще лучше в след раз показывать

ipfw show

Добавлено: **2008-12-02 22:00:03**

Код: Выделить всё

firewall# ipfw show
00010 32231 20731387 allow ip from any to any via em0
00020     0        0 allow ip from any to any via lo0
00030     0        0 deny ip from any to 127.0.0.0/8
00040     0        0 deny ip from 127.0.0.0/8 to any
00070     0        0 check-state
00100     0        0 skipto 400 icmp from any to any keep-state
00105     0        0 skipto 400 udp from any to any dst-port 123 out via em1 keep-state
00110     0        0 skipto 400 udp from any to any dst-port 53 out via em1 keep                                                                              -state
00111     0        0 skipto 400 tcp from any to any dst-port 53 out via em1 setup keep-state
00140     0        0 skipto 400 ip from 192.168.1.0/24 to any dst-port 4899 out                                                                               via em1 setup keep-state
00150     0        0 skipto 400 ip from 192.168.1.0/24 to any dst-port 3389 out                                                                               via em1 setup keep-state
00160     0        0 skipto 400 ip from 192.168.1.0/24 to any dst-port 25 out vi                                                                              a em1 setup keep-state
00170     0        0 skipto 400 ip from 192.168.1.0/24 to any dst-port 110 out v                                                                              ia em1 setup keep-state
00201     0        0 deny ip from 172.16.0.0/12 to any in via em1
00202     0        0 deny ip from 10.0.0.0/8 to any in via em1
00203     0        0 deny ip from 127.0.0.0/8 to any in via em1
00204     0        0 deny ip from 0.0.0.0/8 to any in via em1
00205     0        0 deny ip from 169.254.0.0/16 to any in via em1
00206     0        0 deny ip from 192.0.2.0/24 to any in via em1
00207     0        0 deny ip from 204.152.64.0/23 to any in via em1
00208     0        0 deny ip from 224.0.0.0/3 to any in via em1
00215     0        0 deny tcp from any to any dst-port 113 in via em1
00220     0        0 deny tcp from any to any dst-port 137 in via em1
00221     0        0 deny tcp from any to any dst-port 138 in via em1
00222     0        0 deny tcp from any to any dst-port 139 in via em1
00223     0        0 deny tcp from any to any dst-port 81 in via em1
00300     0        0 allow icmp from any to 192.168.0.7 in via em1 icmptypes 0,8                                                                              ,11 limit src-addr 2
00310     0        0 allow tcp from any to 192.168.0.7 dst-port 80 in via em1 se                                                                              tup limit src-addr 2
00330     0        0 allow tcp from any to 192.168.0.7 dst-port 25 in via em1 se                                                                              tup limit src-addr 2
00340     0        0 allow tcp from any to 192.168.0.7 dst-port 110 in via em1 s                                                                              etup limit src-addr 2
00350     0        0 allow tcp from any to 192.168.0.7 dst-port 4899 in via em1                                                                               setup limit src-addr 2
00360     0        0 allow ip from any to any established
00399    29     2610 deny log logamount 5 ip from any to any
00999     0        0 deny log logamount 5 ip from any to any
65535     0        0 allow ip from any to any

Как то так.
Там разрешено несколько протокола.

а как исправить?

Добавлено: **2008-12-02 22:04:25**

так интернет же em1
а по правилам прошло токо к локальному интерфейсу
это типа у всех пользователй щас интенет наружу работает?
и аська и сайты?

неее чур меня
я с фантастикой делов неимею))))

Добавлено: **2008-12-02 22:08:13**

парадоксег не будь таким линупс-ненавистником

Добавлено: **2008-12-02 22:10:36**

хизель ты темой промахнулся))) сдесь нет линупса это в другой

forum.lissyara.su

firewall rules. Не работают порты по WAN

firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN

Re: firewall rules. Не работают порты по WAN