Страница 1 из 1
настройка ipfw
Добавлено: 2011-01-31 15:19:51
mifey
Привет всем, я в этом деле новичек, так что сильно не ругайте)))
Есть роутер, с него вряха берет и раздает инет.
На фряхе конфиг фаервола:
Код: Выделить всё
#!/bin/sh
#Lan local
LanLocal=192.168.1.0/24
IPLocal=192.168.1.240
IFLocal=rl1
#Lan inet
LanInet=192.168.0.0/24
IPInet=192.168.0.240
IFInet=rl0
InetNat=192.168.1.1,192.168.1.7
InetMy=192.168.1.100,192.168.1.250
#erase all
ipfw -f flush
ipfw -f pipe flush
#pipe speed
ipfw pipe 1 config bw 0Kbit/s
ipfw pipe 2 config bw 16Kbit/s
ipfw pipe 3 config bw 32Kbit/s
ipfw pipe 4 config bw 64Kbit/s
ipfw pipe 5 config bw 128Kbit/s
ipfw pipe 6 config bw 256Kbit/s
ipfw pipe 7 config bw 512Kbit/s
ipfw pipe 8 config bw 1Mbit/s
ipfw pipe 9 config bw 2Mbit/s
ipfw pipe 10 config bw 4Mbit/s
ipfw pipe 11 config bw 8Mbit/s
ipfw pipe 12 config bw 16Mbit/s
ipfw pipe 13 config bw 32Mbit/s
#lo0
ipfw add 00101 allow ip from any to any via lo0
ipfw add 00102 deny ip from any to 127.0.0.0/8
ipfw add 00103 deny ip from 127.0.0.0/8 to any
#inet in
ipfw add 01000 pipe 7 ip from any to ${InetNat} out via ${IFLocal}
#inet out
ipfw add 02000 pipe 5 ip from ${InetNat} to any in via ${IFLocal}
#nat in
ipfw add 03000 divert natd ip from ${InetNat},${InetMy} to any out via ${IFInet}
#nat out
ipfw add 03999 divert natd ip from any to ${IPInet} in via ${IFInet}
Теперь возникла задача пробрасывать порты с инета на некоторые машины, чтоб не делать двойной проброс(с роутера на фряху, с фряхи на машины) появилапсь идея - прокинуть все на фряху(у роутера есть функция такая, все прокидывать на определенную машину.)
Так можно будет только во фряхе указать порт и машину, на которую нужно опробросить.
Но, раньше роутер выполнял фун-цию фаервола, а если все прокинуть - вряха станет открыта.
Фряха раздает инет(кому надо режет скорость, остальным не дает)+DNS+DHCP.
Получается для внутренней сети можно все разрешить, а для внешней все запретить.
Что нужно дописать, чтоб все работало и было безопасно?
Re: настройка ipfw
Добавлено: 2011-01-31 16:08:35
mifey
думаю что-то типа такого:
Код: Выделить всё
ipfw add deny ip from ${LanInet} to any in via ${IFInet}
это как я понимаю: запретить входящие от внешней сети к любой через внешний интерфейс.
Re: настройка ipfw
Добавлено: 2011-01-31 16:27:40
vadim64
1. что за роутер?
2. опции ядра?
3.
Re: настройка ipfw
Добавлено: 2011-01-31 17:09:09
mifey
vadim64 писал(а):1. что за роутер?
2. опции ядра?
3.
фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.
Re: настройка ipfw
Добавлено: 2011-01-31 19:44:09
vadim64
роутер можно убрать?
Re: настройка ipfw
Добавлено: 2011-01-31 20:24:08
snorlov
mifey писал(а):
фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.
У вас масло масляное получилось, я бы d-link в режим моста, а фрю в качестве nat'а и файера, тогда все будет и проще и на мой взгляд надежнее, тем более у вас модем наверное как nat и работает...
Re: настройка ipfw
Добавлено: 2011-02-01 7:37:21
mifey
snorlov писал(а):mifey писал(а):
фряха 8.1 i386, роутер d-link 2540U, все работает отлично.
вопрос по самому фаерволу, как закрыть без нарушения работы с внешнего интерфейса по донному конфину.
У вас масло масляное получилось, я бы d-link в режим моста, а фрю в качестве nat'а и файера, тогда все будет и проще и на мой взгляд надежнее, тем более у вас модем наверное как nat и работает...
Роутер втроенным фаерволом и натом. Сам конектится и раздает инет. Фаер там хороший, просто чтоб в случае проброса какого-либо порта, нужно с него сначала на фряху порт кинуть, потом с фряхи уже на локальную машину.
Вот и хочу сразу бросить все запросы на фряху(есть такая фун-ция в роутере), но для этого сначала нужно нормально сделать фаер на фряхе.
Вот и спрашиваю, как все закрыть в данном конфиге, чтоб можно было не бояться атак с нета.
Потом уже нужно будет открыть 25-ый порт для почты, 80-ый для сайта, парочку для sshк разным машинам - это я уже сделаю.
Просто когда я добавил
Код: Выделить всё
ipfw add deny ip from ${LanInet} to any in via ${IFInet}
Инет пропал даже на фряхе, но понял, что я вообще запретил весь вход, что инет даже зайти не может.
Re: настройка ipfw
Добавлено: 2011-02-01 8:25:53
vadim64
оно, роутер ваш, умеет мост. вот и ставьте его мостом а из фряхи делайте роутер нормальный. вам прваильно говорят. а у вас там что то "исторически сложилось" и вы заморачиваетесь
Re: настройка ipfw
Добавлено: 2011-02-01 8:47:21
mifey
vadim64 писал(а):оно, роутер ваш, умеет мост. вот и ставьте его мостом а из фряхи делайте роутер нормальный. вам прваильно говорят. а у вас там что то "исторически сложилось" и вы заморачиваетесь
Хорошо, делаю мост на фряху, вот как вряху защитить?
Что дописать в правило фаервола для безопасности?
Re: настройка ipfw
Добавлено: 2011-02-01 11:10:34
snorlov
А что вы имеете в виду под словом файер... Модем в режиме роутера на внешнем интерфейсе обычно имеет для управления web(80 порт) и ssh (22 порт), и больше ничего, и то и другое здравомыслящие люди обычно отключают, оставляя управление модемом изнутри, единственное, что модемный файер делает это NAT и проброс портов снаружи вовнутрь, спрашивается, что защищает файер в модеме на внешнем интерфейсе... Сравните это со своей фряхой и различий практически не увидите. Более того, если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...
Re: настройка ipfw
Добавлено: 2011-02-01 11:36:36
vadim64
snorlov писал(а): если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...
ну конечно же! вариантов тут два: или модем в бридж или выкинуть фряху. но как то логичнее же фряху оставить
Re: настройка ipfw
Добавлено: 2011-02-01 12:36:51
mifey
snorlov писал(а): если установить ip модема на внутреннем интерфейсе такой же, как сейчас имеет фря и выкинуть ее, то никто и не заметит что что-то изменилось...
У модема нет фун-ции резать скорость и давать интернет заданным компьютерам. Для этого подняли на фряхе шейпер.
snorlov писал(а):Модем в режиме роутера на внешнем интерфейсе обычно имеет для управления web(80 порт) и ssh (22 порт), и больше ничего, и то и другое здравомыслящие люди обычно отключают, оставляя управление модемом изнутри
Модем снаружи вообще закрыт полностью.
Пробрасывает нужные порты на фряху, которая уже их пробрасывает на нужные компы.
Так вот, чтоб для проброса нужного порта не делать двойные движения(сначала с модема пробросить на фряху, потом с фряхи на машину) можно включить мост - кинуть все с модема на фряху. И уже нужные - пробрасывать, но для этого нужно настроить безопасность на фре, так как она тогда будет открыта для инета.
Вот и спрашиваю: в данный конфиг чего нужно дописать, чтоб закрыть все с внешнего интерфейса, но чтоб инет работал, порты я потом нужные открою.
Re: настройка ipfw
Добавлено: 2011-02-01 12:51:40
vadim64
на фряхе надо прописать:
1. разрешить всё внутри локалки
2. разрешить всё от фряхи в инет кип-стат
3. разрешить отовсюда к фряхе <список служб>
4. натить всё с локалки в инет и редиректить нужные в локалке службы
Re: настройка ipfw
Добавлено: 2011-02-01 13:01:41
snorlov
mifey писал(а):
Модем снаружи вообще закрыт полностью.
Пробрасывает нужные порты на фряху, которая уже их пробрасывает на нужные компы.
Так вот, чтоб для проброса нужного порта не делать двойные движения(сначала с модема пробросить на фряху, потом с фряхи на машину) можно включить мост - кинуть все с модема на фряху. И уже нужные - пробрасывать, но для этого нужно настроить безопасность на фре, так как она тогда будет открыта для инета.
Вот и спрашиваю: в данный конфиг чего нужно дописать, чтоб закрыть все с внешнего интерфейса, но чтоб инет работал, порты я потом нужные открою.
mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...
Re: настройка ipfw
Добавлено: 2011-02-01 13:16:07
mifey
snorlov писал(а):mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...
Как просканить и чему я буду удивлен?
Re: настройка ipfw
Добавлено: 2011-02-01 13:16:36
mifey
vadim64 писал(а):на фряхе надо прописать:
1. разрешить всё внутри локалки
2. разрешить всё от фряхи в инет кип-стат
3. разрешить отовсюда к фряхе <список служб>
4. натить всё с локалки в инет и редиректить нужные в локалке службы
Так вот и спрашиваю, что и как дописать, не разберусь в конфиге(
Re: настройка ipfw
Добавлено: 2011-02-01 13:28:36
vadim64
Код: Выделить всё
add 00050 check-state
# Allow IP via LAN-interface(s)
add 00420 allow ip from any to any via bce1
# Allow IP from me to any via WAN-interface
add 00430 allow ip from me to any via bce2 keep-state
# Deny IP from/to RFC1918 networks via WAN-interface(s)
add 01010 deny ip from any to 192.168.0.0/16 in recv bce2
add 01020 deny ip from 192.168.0.0/16 to any in recv bce2
add 01030 deny ip from any to 172.16.0.0/12 in recv bce2
add 01040 deny ip from 172.16.0.0/12 to any in recv bce2
add 01050 deny ip from any to 10.0.0.0/8 in recv bce2
add 01060 deny ip from 10.0.0.0/8 to any in recv bce2
add 01070 deny ip from any to 169.254.0.0/16 in recv bce2
add 01080 deny ip from 169.254.0.0/16 to any in recv bce2
# WAN-services
add 03020 allow tcp from any to me 21 in recv bce2 keep-state
add 03021 allow tcp from any to me 110 in recv bce2 keep-state
add 03022 allow tcp from any to me 143 in recv bce2 keep-state
add 03030 allow tcp from any to me 25 in recv bce2 keep-state
add 03040 allow tcp from any to me 1723 in recv bce2 keep-state
add 03050 allow tcp from any to me 5006 in recv bce2 keep-state
add 03060 allow tcp from any to me 80 in recv bce2 keep-state
nat 1 config if bce2 reset same_ports deny_in redirect_port tcp 192.168.9.49:3389 3389
add 50010 nat 1 ip from any to me via bce2
add 50030 nat 1 ip from 192.168.8.0.22 to any via bce2
add 65534 deny log ip from any to any
Re: настройка ipfw
Добавлено: 2011-02-01 13:56:03
snorlov
mifey писал(а):snorlov писал(а):mifey, а вы попробуйте посканировать фрю со стороны модема будете удивлены...
Как просканить и чему я буду удивлен?
Поместите комп со сканером в сегмент между фрей и модемом и вы увидите на фре только те сервисы, которые вы повесили на внешний интерфейс...
Может все-таки надо понять, как работает тот же TCP/IP и IPFW, на сайте есть и статьи посвященные этому делу. Мы ведь посоветуем, а без вашего понимания, что вам насоветовали ... Вы сейчас прокидываете порты через модем и фрю, может вам в действительности нужен удаленный доступ к компам внутри локалки...