Страница 1 из 2
Настройка ipfw nat
Добавлено: 2011-01-20 15:25:00
klaster
Посмотрет у вас, cтатьи по FreeBSD и не обнаружил ipfw firewall.
Просто в нете очень много описание старого происхождения, и голова кружиться все по разному описывают загркзку в rc.conf :
Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.
Код: Выделить всё
firewall_nat_enable="YES"
dummynet_enable="YES"
Вот так загружаеться :
Код: Выделить всё
firewall_enable="YES"
firewall_type="/etc/firewall"
Правила firewall :
Код: Выделить всё
# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0
# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state
# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state
# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state
# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state
# запретить остальное
add deny log ip from any to any
Проблема в том что 53 порт всеравно закрыт :
http://www.intodns.com/gipernet.eu
Код: Выделить всё
# netstat -an | grep 53
tcp6 0 0 ::1.953 *.* LISTEN
tcp4 0 0 127.0.0.1.953 *.* LISTEN
tcp4 0 0 127.0.0.1.53 *.* LISTEN
tcp4 0 0 192.168.1.9.53 *.* LISTEN
tcp4 0 0 192.168.1.4.53 *.* LISTEN
udp4 0 0 127.0.0.1.53 *.*
udp4 0 0 192.168.1.9.53 *.*
udp4 0 0 192.168.1.4.53 *.*
В чем может быть причина ??
И немогу понять с natd rc.conf :
Код: Выделить всё
natd_enable="YES"
natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.
natd_flags="-f /etc/natd.conf"
Код: Выделить всё
Starting natd.
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: cannot open config file /etc/natd.conf: No such file or directory
/etc/rc.d/natd: WARNING: failed to start natd
Чего необходимо сделать чтоб он зароботал ???
Re: Настройка ipfw nat
Добавлено: 2011-01-20 16:51:01
terminus
Вот так вобще не загружаеться firewall, неохото просто ядро перекампилировать.
Это делается через rc.conf. и есть два пути:
Код: Выделить всё
firewall_enable="YES"
firewall_type="/etc/firewall"
или
Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/firewall.sh"
в первом случае используется простой текстовый файл, а во втором можно использовать свой скрипт где могут быть всякие переменные. Первый вариант проще, второй гибче.
То, что вы приводили
Код: Выделить всё
firewall_nat_enable="YES"
dummynet_enable="YES"
так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.
Проблема в том что 53 порт всеравно закрыт :
у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?
Код: Выделить всё
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state
разрешен доступ только от 192.168.1.0/24 - это так и надо?
И немогу понять с natd rc.conf
Чего необходимо сделать чтоб он зароботал ???
Зачем использовать nat.d если есть kernel nat? Зачем вообще вам нужен нат на этой системе?
Re: Настройка ipfw nat
Добавлено: 2011-01-20 17:14:17
klaster
так загружается поддержка kernel nat и шейпера dummynet без перекомпиляции ядра.
Код: Выделить всё
firewall_nat_enable="YES"
dummynet_enable="YES"
Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?
у вас реально адреса из 192.168.х.х? Значит в интернет сервер выходит через какой-то рутер? На рутере проброс 53 порта на сервер сделан?
Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.
разрешен доступ только от 192.168.1.0/24 - это так и надо?
Это я делаю для своей локальной сети, что вас смутило ?
Зачем использовать nat.d если есть kernel nat?
Ну если kernel nat имееться будем пробывать его.
Зачем вообще вам нужен нат на этой системе?
Это тестовая система, для дальнейшей работы, пока освоить необходимо.
Ну 53 порт так и не выходит даже если в переди поставить firewall ставлю :
Re: Настройка ipfw nat
Добавлено: 2011-01-20 17:27:24
terminus
Вот это меня как раз и интересовала, ну я так понемаю возможности не много обрезаны ?
Для нат и даминета не существено.
Да правильно говорите перед этой машиной стоит рутер, ну проброс сделан 192.168.x.x на 53 UDP, TCP, как только я выключаю ipfw 53 работает.
разрешен доступ только от 192.168.1.0/24 - это так и надо?
Это я делаю для своей локальной сети, что вас смутило ?
Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.
Так надо
Код: Выделить всё
add allow tcp from any to me 53
add allow udp from any to me 53
Re: Настройка ipfw nat
Добавлено: 2011-01-20 17:31:39
ADRE
используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
Re: Настройка ipfw nat
Добавлено: 2011-01-20 18:44:11
klaster
Если проверка инициируется из интернета через тот веб-тул, то интернет никак не подподает под 192.168.1.0/24, поэтому и не рускает.
Так надо
Код: Выделить всё
add allow tcp from any to me 53
add allow udp from any to me 53
Да это помогло, 53 открылся. Но хотелось бы по интересоваться это же мощный ваерфол, и получаеться если у меня будет стоять в одной локалке dns и майл сервер, мониторингб итд. То портик будет считаться открыт для всех машин, что очень бы не хотелось. Как реализовать такую задачу ?
Пример :
- 192.168.1.5 маршрутизатор
- 192.168.1.10 dns только 53 и 22
- 192.168.1.20 Apache 80 22
- 192.168.1.30 Mail 25 110 143
Что ти по такого ??
Re: Настройка ipfw nat
Добавлено: 2011-01-20 18:48:44
klaster
используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
Попробывал по вашему методу не помогло :
Код: Выделить всё
# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0
add check-state
# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state
# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state
# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state
# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state
# запретить остальное
add deny log ip from any to any
Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???
Re: Настройка ipfw nat
Добавлено: 2011-01-21 4:33:01
ADRE
klaster писал(а):
используйте log в правилах чтоб посмотреть на чём режется и перед keep-state, добавьте check-state.
Попробывал по вашему методу не помогло :
Код: Выделить всё
# локальный трафик
add allow ip from 127.0.0.0/8 to any via lo0
add allow ip from any to 127.0.0.0/8 via lo0
add check-state
# разрешить весь исходящий трафик
add allow tcp from me to any keep-state
add allow udp from me to any keep-state
add allow icmp from me to any keep-state
# разрешить провайдер www и https
add allow tcp from 192.168.1.0/24 to me 80,443 keep-state
# разрешить ssh
add allow tcp from 192.168.1.0/24 to me 22 keep-state
# разрешить dns
add allow tcp from 192.168.1.0/24 to me 53 keep-state
add allow udp from 192.168.1.0/24 to me 53 keep-state
# запретить остальное
add deny log ip from any to any
Хотел узнать про log, куда его надо поставить чтоб логи пошли че та у меня не получаеться ???
add deny log ip from any to any - у вас же написано куда вставлять
после правила, разрешающего или запрещающего
Re: Настройка ipfw nat
Добавлено: 2011-01-21 14:37:05
klaster
add deny log ip from any to any - у вас же написано куда вставлять
после правила, разрешающего или запрещающего
sysloc.conf :
ee /var/log/security :
Код: Выделить всё
Jan 2 17:38:34 ol newsyslog[478]: logfile first created
Написано но я не могу найти куда он пишит эти логи ???
Re: Настройка ipfw nat
Добавлено: 2011-01-21 22:26:35
Extremist
А пишет он в /var/log/security
Re: Настройка ipfw nat
Добавлено: 2011-01-21 22:31:55
klaster
Когда компиляцию ядра выполняещь тогда пишет, а вот когда только в rc.conf прописываешь, можно забыть.
Не забывайте добавить :
Код: Выделить всё
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
Re: Настройка ipfw nat
Добавлено: 2011-01-21 22:50:44
klaster
Люди добрые подскажите как работать в firewall ipfw, в rc.firewall или в своем созданном файле ?
Гибкость и эфективность, я знаю еще и в rc.conf можно писать правила, какой лучший вариант ?
Re: Настройка ipfw nat
Добавлено: 2011-01-25 11:23:57
vadim64
Re: Настройка ipfw nat
Добавлено: 2011-01-27 3:02:07
klaster
Люди добрые помогите разобраться !!!
Необходимо сделать сервер роутер. Имееться две сетевы карты :
- Net = 86.86.86.86
Lan = 192.168.1.2
Не могу понять как сделать так чтоб из Lan выходили в сеть.
Пример :
rc.conf :
Код: Выделить всё
net = 86.86.86.86 255.255.254.0
lan = 192.168.1.2 255.255.255.0
необходимо выйти в сеть
192.168.1.3
Как реализовать такое ?
Замучился уже с этими правилами.
Re: Настройка ipfw nat
Добавлено: 2011-01-27 8:34:35
vadim64
ну вы конкретики добавьте, покажите выводы команд
Код: Выделить всё
uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show
Re: Настройка ipfw nat
Добавлено: 2011-01-27 16:34:35
Kesha
klaster писал(а):И немогу понять с natd rc.conf :
Код: Выделить всё
natd_inteface="rl0" // Сетевая и внешняя и внутриняя, вообщем она одна и принимает и отдает.
Чего необходимо сделать чтоб он зароботал ???
тут написано:
Эта шлюзовая машина должна иметь два сетевых адаптера--один для подключения к маршрутизатору Интернет, а другой для подключения к ЛВС.
http://www.freebsd.org/doc/ru_RU.KOI8-R ... -natd.html
Re: Настройка ipfw nat
Добавлено: 2011-01-27 18:22:08
neurobomman
а товарищ не троллит нас случайно?чет вопросы до абсурда глупы
Re: Настройка ipfw nat
Добавлено: 2011-01-27 22:35:22
vadim64
neurobomman писал(а):а товарищ не троллит нас случайно?чет вопросы до абсурда глупы
вам должно быть стыдно за такие посты! нельзя так говорить человеку, который занимается неблагодарным(первые месяцы) дело изучения фряхи
Re: Настройка ipfw nat
Добавлено: 2011-01-28 17:45:43
neurobomman
извините, но можно было бы и хэндбук почитать. а про то что в статьях нету про ipfw вообще врака
Re: Настройка ipfw nat
Добавлено: 2011-01-28 21:39:29
vadim64
а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?
Re: Настройка ipfw nat
Добавлено: 2011-01-29 0:57:24
neurobomman
+1
Re: Настройка ipfw nat
Добавлено: 2011-01-29 12:23:41
ADRE
vadim64 писал(а):а я бы вот хотел потролить на тему "Kernerl NAT versus NATD." Я какие то другие маны чтоли читаю, что не понимаю зачем люди ещё с натд возятся?
ага, а в чём разница? или травой делитесь...
Re: Настройка ipfw nat
Добавлено: 2011-01-29 15:01:56
klaster
ну вы конкретики добавьте, покажите выводы команд
Код: Выделить всё
uname -a
cat -n /etc/rc.conf
ifconfig
kld_stat
ipfw show
Очень извиняюсь, что долго не отвечал.
Попробую разъеснить проблему :
- 1) Провайдер привязывает Ip по мак адрессам
2) Имееться две сетевухи одна внешняя, другая внутриняя.
3) Выхожу в интернет через внешнию нормально.
4) Через внутринию не как немогу сделать проброс на локальную сеть.
Пример :
a) Внешний адресс 89.89.89.89
б) Внутренийй адресс 192.168.1.3 выходит из сетевухи в свичь.
г) Машина Win XP c адрессом 192.168.1.4, подключена через свичь, в который приходит 192.168.1.3.
Проблема в том как бы я не сторался выход в нет Win Xp не получает. как решить такую проблему ?
uname -a
Код: Выделить всё
FreeBSD gipernet 8.1-RELEASE-p2 FreeBSD 8.1-RELEASE-p2
cat -n /etc/rc.conf
Код: Выделить всё
ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl0_alias0="xx.xx.xx.101 netmask 255.255.254.0" // Ип адрес провайдера и его маска.
defaultrouter="xx.xx.xx.1" // Ip адресс, роутер провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"
kld_stat
ipfw show
Код: Выделить всё
00100 16 960 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow tcp from me to any keep-state
00700 549 63177 allow udp from me to any keep-state
00800 7 448 allow icmp from me to any keep-state
00900 0 0 allow tcp from 192.168.1.0/24 to me dst-port 80,443 keep-state
01000 302 33432 allow tcp from 192.168.1.0/24 to me dst-port 22 keep-state
01100 0 0 allow tcp from any to me dst-port 53
01200 5 340 allow udp from any to me dst-port 53
01300 0 0 allow tcp from any to me dst-port 25
01400 0 0 allow tcp from any to me dst-port 110
01500 0 0 allow tcp from any to me dst-port 143
01600 312 33442 deny log logamount 50 ip from any to any
65535 0 0 allow ip from any to any
Помогите разобраться !!!
Re: Настройка ipfw nat
Добавлено: 2011-01-29 17:59:45
Kesha
klaster писал(а):
Код: Выделить всё
ifconfig_rl0="ether 00:22:6B:xx:xx:xx" // Адресс привязки провайдера
ifconfig_rl1="inet 192.168.1.3 netmask 255.255.255.0" // Моя внутренняя карта и мак адресс.
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
#firewall_nat_enable="YES"
#dummynet_enable="YES"
gateway_enable="YES"
#natd_enable="YES"
#natd_inteface="rl0"
#natd_flags="-f /etc/natd.conf"
Помогите разобраться !!!
в rc.conf подмена мака не катит.
пишем в /etc/rc.d/NETWORKING в одну строчку:
Код: Выделить всё
ifconfig <драйвер сет.интер-са mac которого надо поменять> ether ха:ха:ха:ха:ха:ха
после рестарта этой службы, /etc/rc.d/NETWORKING restart, будет новый mac.
а где маскарадинг? без него не заработает.
Я кинул вам пруф - там всё хорошо разжёвано. Внимательно читайте.
Как минимум в rc.conf:
Код: Выделить всё
#NAT
gateway_enable="YES"
firewall_enable="YES"
firewall_script="< путь к нему с его именем>"
natd_enable="YES"
natd_interface="age0"
или
выбирете тип ipfw который вам подходит или напишите свой скрипт.
/etc/firewall.conf - нет такого файла или каталога
если это скрипт - то так и пишите, как я написал.
в rc.conf не забудьте прописать внутреннею сетевуху.
Re: Настройка ipfw nat
Добавлено: 2011-01-29 19:21:05
ADRE
катит, алиасом. на 9 правдо что-то не заработало. но на 7,6 работало...