Страница 3 из 3
Re: Статья про IPFW
Добавлено: 2009-03-31 19:02:28
princeps
по поводу поста hizel: ipfw применяет к пакетам правила по мере увеличения их номеров. Т.е. в твоем случае сначала применялось 120, потом 8668. Если пакет подходит под какое-то правило, то оно применяется, после чего пакет выбрасывается из фаервола и следующие правила не применяются. Соответственно, у тебя пакеты попадали в 120-е правило и уходили, не добравшись до ната. в твоем случае ты запутал сам себя, поставив в конфиге правило №120 ниже по тексту, чем 8668. Кстати, ты бы юзал какие-нибудь кратные 100 номера, т.е. 100,200,300 и т.д., больше будет порядка.
При том выводе ipfw show, что ты показал, должен работать. Если не работает, опиши, как именно не работает.
Re: Статья про IPFW
Добавлено: 2009-03-31 19:33:54
astros
princeps писал(а):по поводу поста hizel: ipfw применяет к пакетам правила по мере увеличения их номеров. Т.е. в твоем случае сначала применялось 120, потом 8668. Если пакет подходит под какое-то правило, то оно применяется, после чего пакет выбрасывается из фаервола и следующие правила не применяются. Соответственно, у тебя пакеты попадали в 120-е правило и уходили, не добравшись до ната. в твоем случае ты запутал сам себя, поставив в конфиге правило №120 ниже по тексту, чем 8668. Кстати, ты бы юзал какие-нибудь кратные 100 номера, т.е. 100,200,300 и т.д., больше будет порядка.
При том выводе ipfw show, что ты показал, должен работать. Если не работает, опиши, как именно не работает.
Ну вот поставил 00100 правило в начало в итоге вот что получается
Код: Выделить всё
router# ipfw show
00100 779 66234 allow ip from any to any via re1
08668 0 0 divert 8668 ip from 192.168.1.0/24 to any out via re1
08668 0 0 divert 8668 ip from any to xxx.xxx.xxx.xxx in via re1
65535 92063 48622233 allow ip from any to any
Re: Статья про IPFW
Добавлено: 2009-03-31 19:40:56
princeps
ты ничего не понял из того, что я написал. правилам divert дай номера 100 и 200, а этому свое аллоу ол фром ол 300 и расположи их в конфигурационном файле в порядке возрастания номеров. С отключенным-то работал интернет или нет?
Re: Статья про IPFW
Добавлено: 2009-03-31 19:53:01
astros
princeps писал(а):ты ничего не понял из того, что я написал. правилам divert дай номера 100 и 200, а этому свое аллоу ол фром ол 300 и расположи их в конфигурационном файле в порядке возрастания номеров. С отключенным-то работал интернет или нет?
Вот что сделал
Код: Выделить всё
${FwCMD} add 100 divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 200 divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add 300 allow all from any to any via ${LanOut}
вот ipfw show
Код: Выделить всё
router# ipfw show
00100 67 3913 divert 8668 ip from 192.168.1.0/24 to any out via re1
00200 0 0 divert 8668 ip from any to xxx.xxx.xxx.xxx in via re1
00300 233 22036 allow ip from any to any via re1
65535 32013 17064985 allow ip from any to any
теперь так правильно?
Re: Статья про IPFW
Добавлено: 2009-03-31 20:01:57
hizel
если нат не работает в этом варианте , то неправильные настройки xxx.xxx.xxx.xxx или natd
Re: Статья про IPFW
Добавлено: 2009-03-31 20:04:48
princeps
так правильно, работает оно у тебя?
Re: Статья про IPFW
Добавлено: 2009-03-31 20:16:54
astros
hizel писал(а):если нат не работает в этом варианте , то неправильные настройки xxx.xxx.xxx.xxx или natd
Вот смотри что я поменял и что стало
Код: Выделить всё
${FwCMD} add 100 divert natd all from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 200 divert natd all from any to ${NetIn}/${NetMask} in via ${LanOut}
${FwCMD} add 300 allow all from any to any via ${LanOut}
Код: Выделить всё
router# ipfw show
00100 112 8304 divert 8668 ip from 192.168.1.0/24 to any out via re1
00200 72 6328 divert 8668 ip from any to 192.168.1.0/24 in via re1
00300 404 37435 allow ip from any to any via re1
65535 49988 27473405 allow ip from any to any
Так начал работать natd или нет?
Re: Статья про IPFW
Добавлено: 2009-03-31 20:57:56
princeps
astros писал(а):Так начал работать natd или нет?
откуда я знаю, это ты должен сказать, заработал у тебя инет в локале или нет. Так навскидку все правильно вроде.
Re: Статья про IPFW
Добавлено: 2009-03-31 21:06:03
astros
princeps писал(а):astros писал(а):Так начал работать natd или нет?
откуда я знаю, это ты должен сказать, заработал у тебя инет в локале или нет. Так навскидку все правильно вроде.
Думаю что заработал. Дальше что начинать делать???
Re: Статья про IPFW
Добавлено: 2009-04-01 3:08:45
astros
Блин парни так получается что не re1 надо прописывать в правиле а tun0 (т.е PPPoE) через него же подключается в инет а не через re1. или я что то не то сказал?
Re: Статья про IPFW
Добавлено: 2009-04-01 8:19:34
princeps
так работает или нет, ты не сказал
про tun я тебе не советчик - никогда как-то не довелось иметь дела с ppp на фре. Жди когда кто-нибудь знающий на твою тему внимание обратит. Попробуй по-всякому: этот конфиг с обычным белым адресом должен работать
Re: Статья про IPFW
Добавлено: 2009-04-01 8:20:45
princeps
сорри, опять невнимательно твой пост читал. Так если заработал, то значит все правильно, разве нет?
Re: Статья про IPFW
Добавлено: 2009-04-01 8:54:54
astros
princeps писал(а):сорри, опять невнимательно твой пост читал. Так если заработал, то значит все правильно, разве нет?
Да думаю что нормально. Но вот теперь вопрос что дальше делать какие правила писать как я понял теперь нужно закрывать помоленьку иначе получается как большая огромная дыра в фаерволе моём если его можно назвать фаерволом ещё.
Re: Статья про IPFW
Добавлено: 2009-04-01 9:32:19
princeps
astros писал(а):Да думаю что нормально.
Ты не уверен? Проверить не можешь что ли?
Для начала ты должен решить, что ты должен открыть, а что закрыть. В самом простом случае ты должен открыть наружу все, и закрыть снаружи все, кроме ответов на исходящие пакеты, кроме ssh, если ты удаленно снаружи сидишь. В статье Лиса описаны правила для простой конфигурации, там комментариями подписано, что конкретно они закрывают или открывают - выбирай для себя нужные.
Re: Статья про IPFW
Добавлено: 2009-04-01 15:07:23
astros
princeps писал(а):astros писал(а):Да думаю что нормально.
Ты не уверен? Проверить не можешь что ли?
Для начала ты должен решить, что ты должен открыть, а что закрыть. В самом простом случае ты должен открыть наружу все, и закрыть снаружи все, кроме ответов на исходящие пакеты, кроме ssh, если ты удаленно снаружи сидишь. В статье Лиса описаны правила для простой конфигурации, там комментариями подписано, что конкретно они закрывают или открывают - выбирай для себя нужные.
Спасибо но думаю это не последний вопрос.
Re: Статья про IPFW
Добавлено: 2009-06-18 11:09:38
brahmaparush
Ребят, у меня вопрос: Как ограничить доступ к серверу средствами IPFW только с определённых сетей ?
У меня на серваке mpd5 крутится, и зная логин/пасс может подключиться любой из мира.
Собственно говоря вопрос:
Какие правила в IPFW нужно прописать, чтобы ППТП сессия подключалась только с определённых сетей ?
К примеру,
есть сервак 192.168.1.200
Есть сети, 192.168.40.0, 192.168.41.0, 192.168.42.0, 192.168.43.0 (типа мир
)
Писать что-то типа
Код: Выделить всё
ipfw add 13 allow (ip?) from 192.168.40.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.41.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.42.0/255.255.255.0 to me
ipfw add 13 allow (ip?) from 192.168.43.0/255.255.255.0 to me
Так ?
Re: Статья про IPFW
Добавлено: 2009-06-19 10:28:15
itux
Немного от темы, но о насущем:
1) Стоит МакОС Серверная, на нем ipfw
2) В настройках /etc/nat/natd.conf.apple :
Код: Выделить всё
# This file is reserved for configuration automatically generated by the Server Admin app.
# Generated: 2009-06-19 07:34:42 +0800.
#
interface ppp0
enable_natportmap yes
alias_address ххх.ххх.ххх.ххх
dynamic no
log yes
log_denied no
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
reverse no
proxy_only no
clamp_mss yes
в файле /etc/nat/natd.plist :
Код: Выделить всё
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>alias_address</key>
<string>ххх.ххх.ххх.ххх</string>
<key>clamp_mss</key>
<true/>
<key>deny_incoming</key>
<false/>
<key>dynamic</key>
<false/>
<key>enable_natportmap</key>
<true/>
<key>interface</key>
<string>ppp0</string>
<key>log</key>
<true/>
<key>log_denied</key>
<false/>
<key>proxy_only</key>
<false/>
<key>reverse</key>
<false/>
<key>same_ports</key>
<true/>
<key>unregistered_only</key>
<true/>
<key>use_sockets</key>
<true/>
</dict>
</plist>
В /etc/rc.local :
Код: Выделить всё
/usr/sbin/pppd plugin PPTP.ppp remoteaddress vpn.internet.beeline.ru logfile /var/log/ppp.log user userid@internet.beeline.ru password userpassword defaultroute usepeerdns persist maxfail 0
/usr/sbin/natd -f /etc/nat/natd.conf.apple <- [size=150]Как сделать проверку наличия ppp0 до отработки поднятия НАТа... иначе приходится повторно поднимать его[/size]
/sbin/route add 10.0.0.0/8 10.17.0.1
ИНЕТ РАЗДАЕТСЯ, А ЛОКАЛКА ПРОВА НЕ ДОСТУПНА ИЗ МОЕЙ ЛОКАЛКИ
вот ipfw show :
делался через оболочку сервака, потому может много мусора быть
Код: Выделить всё
pws:~ itux$ sudo ipfw show > ipfw
Password:
pws:~ itux$ cat ipfw
00001 12 732 allow udp from any 626 to any dst-port 626
00010 5182 776486 divert 8668 ip from any to any via ppp0
01000 79258 25475430 allow ip from any to any via lo0
01010 0 0 deny log logamount 1000 ip from any to 127.0.0.0/8
01020 0 0 deny log logamount 1000 ip from 224.0.0.0/4 to any in
01030 0 0 deny log logamount 1000 tcp from any to 224.0.0.0/4 in
12300 3728 630589 allow tcp from any to any established
12301 8 512 allow tcp from any to any out
12302 10 580 allow tcp from any to any dst-port 22
12302 0 0 allow udp from any to any dst-port 22
12303 4795575 359381625 allow udp from any to any out keep-state
12304 0 0 allow tcp from any to any dst-port 53 out keep-state
12304 0 0 allow udp from any to any dst-port 53 out keep-state
12305 0 0 allow udp from any to any in frag
12306 6 372 allow icmp from any to any icmptypes 8
12307 6 372 allow icmp from any to any icmptypes 0
12308 11 3707 allow udp from any to any dst-port 68
12309 0 0 allow udp from any to any dst-port 67
12310 0 0 allow tcp from any to any dst-port 123
12310 0 0 allow udp from any to any dst-port 123
12311 0 0 allow tcp from any to any dst-port 993
12312 4 192 allow tcp from any to any dst-port 995
12312 0 0 allow udp from any to any dst-port 995
12313 1 48 allow tcp from any to any dst-port 25
12313 0 0 allow udp from any to any dst-port 25
12314 0 0 allow udp from any to any dst-port 16384-16403
12315 0 0 allow tcp from any to any dst-port 5190
12315 0 0 allow udp from any to any dst-port 5190
12316 0 0 allow udp from any to any dst-port 5060
12317 0 0 allow tcp from any to any dst-port 5223
12318 14 840 allow tcp from any to any dst-port 5269
12319 0 0 allow tcp from any to any dst-port 7777
12320 17 888 allow tcp from any to any dst-port 80
12321 76 3648 allow tcp from any to any dst-port 443
12322 236 13216 allow icmp from any to any
12323 0 0 allow tcp from 10.0.0.0/8 to any established
12324 0 0 allow udp from 10.0.0.0/8 to any in frag
12325 0 0 allow udp from 10.0.0.0/8 to any out keep-state
12326 0 0 allow icmp from 10.0.0.0/8 to any
12327 3684 675389 allow gre from 10.0.0.0/8 to any
12328 0 0 allow tcp from 10.0.0.0/8 to any dst-port 1723
12329 0 0 allow icmp from 10.0.0.0/8 to any icmptypes 0
12330 0 0 allow icmp from 10.0.0.0/8 to any icmptypes 8
12331 0 0 allow tcp from 10.0.0.0/8 to any dst-port 53 out keep-state
12331 0 0 allow udp from 10.0.0.0/8 to any dst-port 53 out keep-state
12332 0 0 allow tcp from 10.0.0.0/8 to any out
12333 0 0 allow tcp from 10.0.0.0/8 to any dst-port 60001
12333 0 0 allow udp from 10.0.0.0/8 to any dst-port 60001
12334 0 0 allow udp from 10.0.0.0/8 to any dst-port 68
12335 0 0 allow udp from 10.0.0.0/8 to any dst-port 16384-16403
12336 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5190
12336 0 0 allow udp from 10.0.0.0/8 to any dst-port 5190
12337 0 0 allow udp from 10.0.0.0/8 to any dst-port 5060
12338 0 0 allow tcp from 10.0.0.0/8 to any dst-port 7777
12339 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5269
12340 0 0 allow tcp from 10.0.0.0/8 to any dst-port 5223
12341 0 0 allow ip from 192.168.1.0/24 to any via en1 keep-state
12342 0 0 allow udp from any 68 to any dst-port 67 via en1
12343 0 0 allow ip from 127.0.0.1 to any
12344 2252 325804 allow gre from 172.31.224.0/24 to any
12345 0 0 allow icmp from 172.31.224.0/24 to any
12346 0 0 allow icmp from 172.31.224.0/24 to any icmptypes 0
12347 0 0 allow icmp from 172.31.224.0/24 to any icmptypes 8
12348 0 0 allow tcp from 172.31.224.0/24 to any dst-port 1723
12349 0 0 allow tcp from 172.31.224.0/24 to any dst-port 53 out keep-state
12349 0 0 allow udp from 172.31.224.0/24 to any dst-port 53 out keep-state
65534 407 35449 deny log logamount 1000 ip from any to any
65535 320 22400 allow ip from any to any
И еще вопрос:
есть два интерфейса, ppp0 - PPTP соединение до Билайна и en0 - локальное соединение билайна, en1 - Моя локалка
как настроить в моем случае НАТ для доступа из локалки к двум сетям одновременно... получается пока только по одному из двух
