forum.lissyara.su

Добавлено: **2012-08-28 12:16:04**

Помогите, долго мучаюсь а ничего не получается, как правильно заблокировать трафик между локальными подсетями средствами IPWА , есть сетевая bge0 192.168.1.100/24 (инет), и сетевая rl0 10.10.10.1/24 , нужно чтобы из сети 10.10.10.1/24 не видели сеть 192.168.1.1/24 а инет работал.

Добавлено: **2012-08-28 12:22:21**

YSL писал(а):Помогите, долго мучаюсь а ничего не получается, как правильно заблокировать трафик между локальными подсетями средствами IPWА , есть сетевая bge0 192.168.1.100/24 (инет), и сетевая rl0 10.10.10.1/24 , нужно чтобы из сети 10.10.10.1/24 не видели сеть 192.168.1.1/24 а инет работал.

Код: Выделить всё

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0

Добавлено: **2012-08-28 13:33:43**

А куда его оно добавило в /etc/rc.firewall записи нет ? Перегружать нужно сервак после добавления правила ?

Добавлено: **2012-08-28 13:48:22**

Как известно после перезагрузки системы правила в ipfw сбрасываются
Поэтому необходимо эти самые правила где-то хранить, что бы при загрузке системы происходила настройка фаервола
Это достигается следующими вариантами

1)Используя /etc/rc.conf и /etc/ipfw.rules - метод №1
1.1) В /etc/rc.conf пишем:
firewall_enable="YES"
firewall_type="/etc/ipfw.rules"
1.2) Создаём /etc/ipfw.rules:
# ee /etc/ipfw.rules
1.3) Вписываем в /etc/ipfw.rules нужные нам правила:
1.4) Перезагружаемся.
Замечание: прописывать в /etc/rc.conf строку firewall_enable="YES" - ОБЯЗАТЕЛЬНО, даже если ядро собиралось с поддежкой IPFW.

Так сделать ?

Добавлено: **2012-08-28 14:03:04**

Не, ну вы блин даёте!
Спрашиваете как закрыть, а у вас и фаервол-то не включен.
В /etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/ipfw.rules"

/etc/ipfw.rules

Код: Выделить всё

#!/bin/sh

ipfw -qf flush

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
ipfw add 1200 pass all from any  to any

Это вам для примера.

Добавлено: **2012-08-28 14:17:24**

Cпасибо все работает )) еще по поводу номеров 1000 или 1100 это все произвольно или есть последовательность ?

Добавлено: **2012-08-28 14:34:32**

раз,два

еще дать?

Добавлено: **2012-08-28 14:41:04**

rayder писал(а):раз,два

еще дать?

Уважаемый форумы такого типа создаются чтобы новичок задал вопрос и ему дали четкий ответ а не посылали читать мануал мне это не нужно я создал правило и забыл на года сервак.

Добавлено: **2012-08-28 14:53:46**

правда? а статьи тогда для чего написаны? что бы вы их не читали?

Добавлено: **2012-08-28 15:08:26**

После перезапуска сервака инета в подсети 10.10.10.1/24 инета нет, делаю

Код: Выделить всё

/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
01000 deny ip from 192.168.1.0/24 to any via rl0
01100 deny ip from 10.10.10.0/24 to any via bge0
01200 allow ip from any to any
Firewall rules loaded.

и инет появляется в чем проблема ?

Добавлено: **2012-08-28 15:41:48**

что в логах при загрузке по поводу ipfw говорится?

Добавлено: **2012-08-28 15:46:50**

и да, пропишите в скрипте полный путь к ipfw
по типу:

Код: Выделить всё

#!/bin/sh
ipfw="/sbin/ipfw"
${ipfw} add 1000 deny all from 192.168.1.0/24 to any via rl0
${ipfw} add 1100 deny  all from 10.10.10.0/24 to any via bge0

Добавлено: **2012-08-28 17:00:08**

Вот что у меня
ee /etc/ipfw.rules

Код: Выделить всё

#!/bin/sh
ipfw -qf flush
ipfw="/sbin/ipfw"

ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
ipfw add 1200 pass all from any  to any

И все равно после перезагрузки не работает инет на 10.10.10.0/24 только после /etc/rc.d/ipfw restart

Добавлено: **2012-08-28 17:05:29**

ipfw - это комманда
${ipfw} - это переменная указывающая где именно находится ipfw (/sbin/ipfw),
вы объявили переменную, но нигде ее не используете.

при старте системы она скорее всего не знает где у вас находится ipfw.
а при запуске вручную она уже ищет его в вашем $PATH

ну либо пишите в скрипте

Код: Выделить всё

/sbin/ipfw add 1000 deny all from 192.168.1.0/24 to any via rl0
/sbin/ipfw add 1100 deny  all from 10.10.10.0/24 to any via bge0
...

ЗЫ. я же специально указал ${ipfw} а не ipfw

Добавлено: **2012-08-28 17:09:21**

кстати что пишет в логах, вы так и не указали

Добавлено: **2012-08-28 17:13:19**

Что писать как проверить ))

Добавлено: **2012-08-28 17:15:41**

ну учить вас читать логи, я уж точно не буду.

Добавлено: **2012-08-28 20:20:16**

Только это есть в
/var/log/messages

Код: Выделить всё

Aug 28 17:20:03 router kernel: ipfw2 initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to deny, logging disabled

Добавлено: **2012-08-28 20:53:15**

YSL писал(а):Только это есть в
/var/log/messages
Код: Выделить всё
Aug 28 17:20:03 router kernel: ipfw2 initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to deny, logging disabled

Значит правила не сработали.
После перезагрузки посмотреть ipfw show, чего покажет.
Поробуйте скрипт сделать исполняемым.

Добавлено: **2012-08-28 21:18:00**

Добавлено: **2012-08-28 22:02:33**

да он даже пути до сих пор к ipfw не дописал...

Код: Выделить всё

ну очень информативное сообщение.

в числе 42 - хотя бы смысл есть.

Добавлено: **2012-08-28 22:06:01**

После перезагрузки инета таки нет на 10.10.10.0/24

Код: Выделить всё

# ipfw show
01000      0        0 deny ip from 192.168.1.0/24 to any via rl0
01100  91981  8058408 deny ip from 10.10.10.0/24 to any via bge0
01200 106074 10551300 allow ip from any to any
05000      0        0 deny ip from not table(0) to any
05001      0        0 skipto 5010 ip from table(127) to table(126)
05002      0        0 skipto 5030 ip from any to not table(2)
05003      0        0 deny ip from any to not table(1)
05004      0        0 pipe tablearg ip from table(21) to any
05005      0        0 deny ip from any to any
05010      0        0 pipe tablearg ip from table(127) to any
05030      0        0 deny tcp from table(15) to any dst-port 25
05400      0        0 pipe tablearg ip from table(11) to any
32000      0        0 deny ip from any to any
33000      0        0 pipe tablearg ip from table(126) to table(127)
33001      0        0 skipto 33010 ip from not table(2) to any
33002      0        0 pipe tablearg ip from any to table(20)
33003      0        0 deny ip from any to any
33400      0        0 pipe tablearg ip from any to table(10)
65535      0        0 deny ip from any to any

Потом запускаю /etc/rc.d/ipfw restart

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
01000 deny ip from 192.168.1.0/24 to any via rl0
01100 deny ip from 10.10.10.0/24 to any via bge0
01200 allow ip from any to any
Firewall rules loaded.

Код: Выделить всё

# ipfw show
01000  1758  204781 deny ip from 192.168.1.0/24 to any via rl0
01100     0       0 deny ip from 10.10.10.0/24 to any via bge0
01200 20694 5314911 allow ip from any to any
65535     0       0 deny ip from any to any

инет появляется

Добавлено: **2012-08-28 22:16:13**

Вам сервак в наследство достался?
Вам добавить надо в существующие правила, а не городить новые, если они нужны.

Добавлено: **2012-08-28 22:35:19**

Типа да в наследство )))
Ну так куда добавить это я уже целый вечер спрашиваю какой файл править ???

Добавлено: **2012-08-29 7:24:13**

Насколько я понял правила firewall лежат здесь
ee /etc/rc.firewall

Код: Выделить всё

# ipfw show
00001 1454  211989 allow ip from any to me
00050    0       0 allow tcp from any to me dst-port 22
00051   38    6920 allow tcp from me 22 to any
00110    0       0 allow ip from any to any via lo0
00120  571   50822 skipto 1000 ip from me to any
00130  417   58391 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160    0       0 skipto 2000 ip from any to me
00200 8461 5491665 skipto 500 ip from any to any via bge0
00300 4597  648600 skipto 4500 ip from any to any in
00400 4549 4887375 skipto 450 ip from any to any recv bge0
00420    0       0 divert 1 ip from any to any
00450 4549 4887375 divert 2 ip from any to any
00490 4549 4887375 allow ip from any to any
00500 4568 4900193 skipto 32500 ip from any to any in
00510 3893  591472 divert 1 ip from any to any
00540 3839  587050 allow ip from any to any
01000  107   21380 allow udp from any 53,7723 to any
01010    0       0 allow tcp from any to any setup keep-state
01020  120    8974 allow udp from any to any keep-state
01030  344   20468 allow ip from any to any
02000    0       0 check-state
02010    0       0 allow icmp from any to any
02020    0       0 allow tcp from any to any dst-port 80,443
02050    0       0 deny ip from any to any via bge0
02060    0       0 allow udp from any to any dst-port 53,7723
02100    0       0 deny ip from any to any
05000    0       0 deny ip from not table(0) to any
05001    0       0 skipto 5010 ip from table(127) to table(126)
05002 3592  388128 skipto 5030 ip from any to not table(2)
05003    0       0 deny ip from any to not table(1)
05004    0       0 pipe tablearg ip from table(21) to any
05005    0       0 deny ip from any to any
05010    0       0 pipe tablearg ip from table(127) to any
05030    0       0 deny tcp from table(15) to any dst-port 25
05400 3197  357297 pipe tablearg ip from table(11) to any
32000  395   30831 deny ip from any to any
32490  231   19479 deny ip from any to any
33000    0       0 pipe tablearg ip from table(126) to table(127)
33001 3896 4087643 skipto 33010 ip from not table(2) to any
33002    0       0 pipe tablearg ip from any to table(20)
33003    0       0 deny ip from any to any
33400 3884 4083853 pipe tablearg ip from any to table(10)
65535   19   12818 deny ip from any to any

как правильно добавить это

Код: Выделить всё

add 1000 deny all from 192.168.1.0/24 to any via rl0
add 1000 deny all from 10.0.0.0/24 to any via rl0
add 1100 deny  all from 10.10.10.0/24 to any via bge0
add 1200 pass all from any  to any

Чтобы оно работало ???

forum.lissyara.su

Как заблокировать трафик между локальными подсетями IPWF .

Как заблокировать трафик между локальными подсетями IPWF .

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF

Re: Как заблокировать трафик между локальными подсетями IPWF