Страница 1 из 1

ipfw+nat закрыть порты наружу

Добавлено: 2012-08-16 10:56:35
balamut
Добрый день!пытаю я ipfw + kernel nat и ни как что то не догоню как "натить" только определенные порты наружу.
много чего прочитал но видать что то я не пойму как работает фаер и как проходит трафик через стек.

Дошел до такого конфига:
freebsd 8.3, две сетевухи em0, em1
em0 смотрит в инет и имеет адрес 192.168.0.221,em1 смотрит в локалку и имет адрес 192.168.118.0
нужно выпускать в инет локалку только по 80 и 53 порту и иметь доступ из вне по ssh к машине с фрей

Код: Выделить всё

FwCMD="/sbin/ipfw"

netin="192.168.118.0/24"
lanin="em1"

${FwCMD} -f flush


${FwCMD} add 800 allow all from any to any via lo0
${FwCMD} add 810 allow all from any to any 22 in via em0
${FwCMD} add 820 allow all from any to any via em1

${FwCMD} nat 1 config log if em0 deny_in reset same_ports redirect_port tcp 192.168.118.132:80 8080
${FwCMD} add 900 nat 1 ip from ${netin} to any 80,53 via em0
${FwCMD} add 901 nat 1 ip from any to 192.168.0.221 via em0

${FwCMD} add 65534 deny all from any to any

Код: Выделить всё

${FwCMD} add 900 nat 1 ip from ${netin} to any 80,53 via em0
${FwCMD} add 901 nat 1 ip from any to 192.168.0.221 via em0
не пойму почему так?и так не работает ssh
(если поставить в 901 правиле any to any то ssh работает а нат выпускает по все портам)))
помогите разобраться!

Re: ipfw+nat закрыть порты наружу

Добавлено: 2012-08-16 15:05:13
sadchok
а для чего у вас 901 правило?

Re: ipfw+nat закрыть порты наружу

Добавлено: 2012-08-17 11:49:00
balamut
)))не знаю!не пойму сам, нашел это в примере)))если его убираешь инета в локалке нету!

Re: ipfw+nat закрыть порты наружу

Добавлено: 2012-08-17 11:57:36
Shuba
в принципе понятно, по правила 810 ты ssh внутрь пускаешь, а вот обратно - хрен. я бы сделал так:

Код: Выделить всё

${FwCMD} add 810 allow tcp from any to 192.168.0.221 dst-port 22 via em0
${FwCMD} add 815 allow tcp from 192.168.0.221 to any src-port 22 via em0