Страница 2 из 2

Re: ipfw

Добавлено: 2010-11-09 10:31:50
uvetrom
не пойму что в скрипте писать, конструкция

Код: Выделить всё

add 10230 allow ip 50 tcp from any to any via vr0

не работает.

Re: ipfw

Добавлено: 2010-11-09 10:49:16
FreeBSP
ступил
я - потому что не все выкинул что надо
ты - потому что бездумно скопировал

Код: Выделить всё

add 10230 allow ip from any to any via vr0
и вообще, файер надо учить, а не собирать по крупинкам.

Re: ipfw

Добавлено: 2010-11-09 12:09:45
uvetrom
Да, я честно говоря уже так и сделал :)
Спасибо за помощь!

С ssh сам попробую разобраться.

Re: ipfw

Добавлено: 2010-11-09 12:50:10
uvetrom
не получается.
конструкция взята из хендбука:

Код: Выделить всё

add 10330 allow tcp from any to any 22 out via vr0 setup keep-state
пробовал несколько похожих конструкций, эффект тот же, на ссш тишина.

Re: ipfw

Добавлено: 2010-11-09 13:33:06
FreeBSP
ssh откуда куда?
одно правило ни о чем не говорит, показывай вывод ipfw show
разрешение на входящие пакеты от ssh есть? в этом правеле могут ходить только исходящие пакеты, точнее выходящие с сервера через vr0
такое ощущение что ты не очень понимаешь сути файерволла

Re: ipfw

Добавлено: 2010-11-09 13:36:23
uvetrom
Может быть и не очень, я просто написал последнее что я пробовал, от без исходности.

Код: Выделить всё

add 10330 allow tcp from any to me 22 via vr0 keep-state
вот что было первое.

Re: ipfw

Добавлено: 2010-11-09 14:28:07
FreeBSP
не надо безысходности!
надо понять как ходят пакеты, как они могут ходить, и как не должны, как они появляются в системе, как проходят рулсет, когда выходят из файера и как ведут себя после этого
после того как ты это поймешь и осознаешь, ты сможешь написать правильный рулсет

а пока перечитай мое сообщение и ответь на вопросы

Re: ipfw

Добавлено: 2010-11-09 14:51:01
uvetrom
надо что бы ssh работал на всех интерфейсах или только на внешнем, не принципиально.

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01040 allow ip from any to any via rl0
10130 nat 1 ip from any to any via vr0
10230 allow log logamount 50 tcp from any to me dst-port 22 via vr0 keep-state
65535 deny ip from any to any
Вот. Не работает :(

Re: ipfw

Добавлено: 2010-11-09 17:03:54
FreeBSP

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01040 allow ip from any to any via rl0
10130 nat 1 ip from any to any via vr0
10230 allow ip from any to any via vr0
65535 deny ip from any to any
как то так должно быть
конкретно ssh разрешается как то так

Код: Выделить всё

allow ip from any to me 22
allow ip from me 22 to any
но опять же в отрыве от контекста это ничего не значит
если положить их куда то в конц, куда пакеты доходить не будут то эти правила и работать не будут
в твоем рулсете должно быть как то так

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01040 allow ip from any to any via rl0
allow ip from any to me 22
allow ip from me 22 to any
10130 nat 1 ip from any to any via vr0
10230 allow ip from any to any via vr0
65535 deny ip from any to any

Re: ipfw

Добавлено: 2010-11-09 17:21:22
uvetrom
Да, теперь я смысл понял....
Заработало, огромное спасибо за науку и терпение.

Re: ipfw

Добавлено: 2010-11-09 17:33:47
FreeBSP
все мы были маленькими и глупенькими =) ;)
найди время, разберись как конкретно ходят пакеты, как их обрабатыает файер, откуда они берутся и куда отправляются.. полезно. даже после этого с ходу рулсет написать сложно, но по крайней мере будешь понимать что и почему
uvetrom писал(а):Да, теперь я смысл понял....
еще не понял... но начинаешь понимать =)

Re: ipfw

Добавлено: 2010-11-26 1:35:03
gena
Будте добры подскажыте пожалуста как сделать чтобы ssh работал с внешки так и с локалки на FreeBSD 7.2 ета схема не работает

Код: Выделить всё

nat 1 config log if vr0 reset same_ports deny_in
# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via vr0
#ssh из внешки
add allow log tcp from any to me 22 keep-state
# боимся непонятного
add 65534 deny all from any to any
а если сделать так то работает токо с внешнего мира

Код: Выделить всё

#ssh из внешки
add allow log tcp from any to me 22 keep-state
nat 1 config log if vr0 reset same_ports deny_in
# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via vr0

# боимся непонятного
add 65534 deny all from any to any
Актуальный вопрос также с icmp ситуация таже
Зарание большое спасибо!

Re: ipfw

Добавлено: 2010-11-26 19:36:15
gena
Получаетса deny_in блокирует все входяшие из мира соединения