Страница 1 из 1
IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 6:20:31
Turbo
может хоть один юзер пролезть мимо прокси в интернет?
если да то как перенаправить ВЕСЬ ВЭБ-трафик на порт сквида (3128)
пока не гуглил, но интересно что за зверь "allow ip from me" и как этот "me" назначается?
есть такой сет правил
Код: Выделить всё
server# ipfw list
00010 allow ip from any to me dst-port 53
00020 allow ip from me 53 to any
00100 allow ip from 192.168.0.0/24 to me
00200 allow ip from me to 192.168.0.0/24
00300 allow ip from 192.168.0.2 to 192.168.0.1
00400 allow ip from 192.168.0.1 to 192.168.0.2
00500 allow ip from me to any keep-state
00600 deny icmp from any to any frag
00700 allow icmp from any to any
00800 allow tcp from any to any dst-port 443
00900 allow tcp from any 443 to any
01000 allow tcp from any to any dst-port 22
01100 allow tcp from any 22 to any
01200 allow tcp from any to any dst-port 25,110
01300 allow tcp from any 25,110 to any
01400 allow ip from 192.168.0.0/24 to me
01500 allow ip from me to 192.168.0.0/24
01600 deny ip from any to me dst-port 80
01700 allow ip from 192.168.0.2 to 192.168.0.1
01800 allow ip from 192.168.0.1 to 192.168.0.2
01900 allow ip from me to any keep-state
02000 deny icmp from any to any frag
02100 allow icmp from any to any
02200 allow tcp from any to any dst-port 443
02300 allow tcp from any 443 to any
02400 allow tcp from any to any dst-port 22
02500 allow tcp from any 22 to any
02600 allow tcp from any to any dst-port 25,110
02700 allow tcp from any 25,110 to any
02800 allow udp from any to any dst-port 53
02900 allow udp from any 53 to any
03000 deny ip from any to any
65535 deny ip from any to any
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 7:49:09
Alex Keda
me - все адреса локальной машины
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 8:15:42
schizoid
если да то как перенаправить ВЕСЬ ВЭБ-трафик на порт сквида (3128)
Код: Выделить всё
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via fxp0
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 9:11:04
Turbo
schizoid писал(а):
Код: Выделить всё
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via fxp0
а как написать ему чтото вроде deny from 192.168.0.55 web-ports
так чтобы оно меня поняло
пока что почти полный ноль на линухе c iptables вроде получалось а тут БСДя
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 9:42:26
schizoid
Код: Выделить всё
deny tcp from 192.168.0.55 to any 80 via внешняя_сетевушка
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 13:35:41
-cat-
Поскольку правил с divert нет, а как известно серые IP в инете не маршрутизируются и не резольвятся, то пользователи кроме как через прокси выхода в инет не будут иметь
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 13:40:07
-cat-
В догонку зачем дублирование 500 и 1900? зачем keep-state если нет check-state?
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 18:42:58
BigBrother
Такой вопрос. На сервере работает proftpd сервер. Настроен анонимный доступ. Хочу разрешить пользование фтп для локалки с помощью ipfw.
Делаю:
Код: Выделить всё
ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
Пробую делать конект из локальной сети, конекта нету. Смотрю ipfw show вижу что по 1му правилу пакеты проходят. Если ввести
Код: Выделить всё
ipfw -q add allow tcp from me to 10.10.10.0/24 out via lnc0
тогда конект есть, но до конца на сервер так войти не могу, заканчивается это
Код: Выделить всё
Error: Transfer channel can't be opened. Reason: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Error: Could not retrieve directory listing
Как мне организовать правила для фтп сервере с максимальной безопасностью? Или где про это почитать?
И ещё такой вопрос, если я делаю два правила с одним и тем же номером, как в этом случае фаерволл себя ведет?
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 21:29:23
-cat-
BigBrother писал(а):Такой вопрос. На сервере работает proftpd сервер. Настроен анонимный доступ. Хочу разрешить пользование фтп для локалки с помощью ipfw.
Делаю:
Код: Выделить всё
ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
Пробую делать конект из локальной сети, конекта нету. Смотрю ipfw show вижу что по 1му правилу пакеты проходят. Если ввести
Код: Выделить всё
ipfw -q add allow tcp from me to 10.10.10.0/24 out via lnc0
тогда конект есть, но до конца на сервер так войти не могу, заканчивается это
Код: Выделить всё
Error: Transfer channel can't be opened. Reason: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Error: Could not retrieve directory listing
Как мне организовать правила для фтп сервере с максимальной безопасностью? Или где про это почитать?
И ещё такой вопрос, если я делаю два правила с одним и тем же номером, как в этом случае фаерволл себя ведет?
1. На сайте "Лиса" есть подробная инструкция как настроить
2. ipfw -q add 2 allow tcp from me 21,20 to 10.10.10.0/24 out via lnc0 это правило для активного режима FTP, а стандартный windows клиент по умолчанию работает в пассивном, к тому же если стоит файервал на windows активный режим работать скорее всго не будет.
3. Error: Transfer channel can't be opened. - говорит о том что не открыт канал передачи, т. е. в firewall должны быть открыты для TCP соединения порты (имеется в виду пассивный режим) какие точно зависит от системы что-то вроде 49150-65535, в proftp есть директива для назначения этих портов, правда кажется что у меня она не работала, в любом случае смотри сайт, там все разжевано.
3. Ftp сам по себе не безопасен, не говоря уже об анонимном доступе. К томе же о бесопастности лучше заботится с наружи а не изнутри.
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 21:32:14
-cat-
В догонку по поводу правил с одним номером: все будет работать, а вообще попробуй и увидишь что происходит.
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-08-23 22:34:10
dikens3
-cat- писал(а):В догонку по поводу правил с одним номером: все будет работать, а вообще попробуй и увидишь что происходит.
Точно будет работать под одним номером, но при удалении
ipfw del 1000 к примеру удалит
все правила с номером 1000.
Код: Выделить всё
ipfw -q add 1 allow tcp from 10.10.10.0/24 to me 21 in via lnc0 - это типа для запроса запрос
ipfw -q add 2 allow tcp from me to 10.10.10.0/24 21,20 out via lnc0 -это типа для ответа
бы тебе как работает FTP, для активного можно сделать примерно следующее.(Подсказка такая :- )
Код: Выделить всё
ipfw -q add 2 allow tcp from me 20 to 10.10.10.0/24 1024-65535 out via lnc0 -это типа для ответа
P.S. Чтобы разобраться используй действие log (ipfw deny log .... ), там понятно будет что блокируется и как работает. :-) Удачи.
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-09-29 18:58:56
Turbo
а вот вопрос возник - надо перекинуть порт (например порт1111) с интернет сетевухи (inetSET) на тот-же порт у 10.100.7.41 (порт 1111) через 10,100,7,1
Схемка:
=><inet:1111>(serv)<10.100.7.1><=><10.100.7.41:1111>
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-09-29 20:20:49
Alex Keda
непонял
и вообще - заводите отдельные темы для отдельных вопросов...
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-09-29 20:30:03
dikens3
а вот вопрос возник - надо перекинуть порт (например порт1111) с интернет сетевухи (inetSET) на тот-же порт у 10.100.7.41 (порт 1111) через 10,100,7,1
Схемка:
=><inet:1111>(serv)<10.100.7.1><=><10.100.7.41:1111>
Вопросы:
На одном компе? Сервере?
Т.е. inet - внешний, а 10.100.7.41 внутренний IP-Адрес?
Если да - стандартно через natd или ipnat.
Если нет, тогда тебе уже в раздел маршрутизации:
1. На сервере выполняем ping 10,100,7,1 и смотрим как пингуется?
2. После выполнения П.1 через NATD или ipnat.
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-09-29 23:18:40
Turbo
Код: Выделить всё
(я стучусь отсюда)=>
=>{<inet:3389>(serv сервак с двумя интерфейсами)<10.100.7.1 ><=>
<=><10.100.7.41 мне сюда надо достучаться порт 3389>}
хочу увидеть рабочий стол сервера wiindows 2003между мной и ним - FreeBSD сервачек
Re: IPFW - web traffik КУДА ИДЕТ?
Добавлено: 2007-09-30 0:03:39
Alex Keda
http://www.lissyara.su/?id=1372
никто не запрещает сделать такое с локальной машины на винде на удалённую БСД.
и будешь коннектится на локалхост по RDP