Страница 1 из 1
Настройка ipfw
Добавлено: 2009-01-14 13:35:12
u960
Классическая схема, два интерфейса, один смотрит в интернет, другой в локальную сеть.
нужно дать любой доступ интернет самому серверу, и всем машинам в сети.
правильно я понимаю, что дать выход в интернет локальным машинам в сети можно двумя способами:
1. IPFW + NAT, add divert natd и так далее
и тогда локальным машинкам будет все позволено
2. IPFW + SQIUD, его средствами http,(а ftp полноценный можно? чтобы клиентские приложение могли ходить), и еще почта на отправку нужна.
то есть в ipfw разрешить на выход 25 порт?
откуда фряка знает, что пакеты с внутреннего интерфейса нужно перекидывать на внешний? достаточно правил в ipfw,или еще нужка какая то маршрутизация?
Re: Настройка ipfw
Добавлено: 2009-01-14 14:04:21
hizel
u960 писал(а):
откуда фряка знает, что пакеты с внутреннего интерфейса нужно перекидывать на внешний?
согласно netstat -rn и net.inet.ip.forwarding
с прокси для ftp поимеете гиморой
прокся обычная имеет смысл для мониторинга посещений сайтов, кэширование имхо в современных интернетах не актуально
Re: Настройка ipfw
Добавлено: 2009-01-14 14:44:37
manefesto
на узком канале актуально....как у меня...64к
Re: Настройка ipfw
Добавлено: 2009-01-14 15:00:46
u960
c FTP понятно, да и на трафик пофигу
значит выбираем связку IPFW+NAT
net.inet.ip.forwarding включен
пакеты из локалки все равно не уходят
Код: Выделить всё
00100 check-state
00200 deny ip from any to any in via fxp0 not verrevpath
00300 divert 8668 ip from 192.168.20.0/24 to any out via fxp0
00400 divert 8668 ip from any to 84.52.xxx.xx in via fxp0
00500 allow ip from me to any out via fxp0 keep-state
00600 deny tcp from any to any established in via fxp0
00700 allow ip from any to any via vr0 # правило 7
00800 allow ip from 192.168.20.0/24 to any out via fxp0 keep-state
00900 allow ip from any to any via lo0
01000 deny ip from any to 127.0.0.0/8
01100 deny ip from 127.0.0.0/8 to any
65535 deny ip from any to any
Re: Настройка ipfw
Добавлено: 2009-01-14 16:07:50
u960
NAT правила где должны располагаться? или не имеет значение, каким номером они идут?
я правильно понимаю что:
00300 divert 8668 ip from 192.168.20.0/24 to any out via fxp0
пакет из сетки обрабатывается натом, и пакет уходит через внешний интерфейс
но сначала мы его принять из локалки
00700 allow ip from 192.168.20.0/24 any in via vr0
пакет из инета поступает на вход во внешний интерфейс, обрабатывается натом
00400 divert 8668 ip from any to 84.52.xxx.xx in via fxp0
теперь его нужно выпустит в локалку
allow ip from 192.168.20.0/24 to any out via vr0
я все правильно понял?
Re: Настройка ipfw
Добавлено: 2009-01-14 16:10:55
hizel
пакет через divert сокет попал в natd там обработался и вернулся в фаер на правило следующее после этого divert но уже измененым
Re: Настройка ipfw
Добавлено: 2009-01-15 13:49:52
u960
что то нифига не получается
а точно маршрутизацию ни как не затрагивает?
r# netstat -rn
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 84.52.123.65 UGS 0 5172 fxp0
84.52.123.64/26 link#1 UC 0 0 fxp0
84.52.123.65 00:13:c4:06:ed:78 UHLW 2 0 fxp0 1195
127.0.0.1 127.0.0.1 UH 0 5233 lo0
192.168.20.0/24 link#2 UC 0 0 vr0
192.168.20.10 00:05:5d:6c:04:eb UHLW 1 1277 vr0 1171
Re: Настройка ipfw
Добавлено: 2009-01-15 13:56:21
hizel
ну если у вас после natd src-ip или dst-ip меняется, естественно затрагивает
Re: Настройка ipfw
Добавлено: 2009-01-15 14:11:44
u960
хех, я первый раз настраиваю, а вы глумитесь )
Re: Настройка ipfw
Добавлено: 2009-01-15 14:14:26
hizel
нисколько не глумлюсь
я бы вам посоветовал разобрать по винтикам и кирпичикам
пример который есть в handbook для NAT+keep-state , он там по-моему последний - это если вам действительно нужен
stateful
там все не так просто как на первый взгляд
