forum.lissyara.su

Код: Выделить всё

ifconfig_rl0="inet 192.168.2.254 netmask 255.255.255.0"  ( в этот интерфейс через свич включен АДСЛ и VPN роутер (192.168.2.253) )
ifconfig_rl1="inet 192.168.1.254 netmask 255.255.255.0"
ifconfig_rl1_alias0="inet 192.168.0.254 netmask 255.255.255.0"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

redirect_port tcp 192.168.2.253:500 500
redirect_port tcp 192.168.1.105:4899 7777

Код: Выделить всё

ns2# uname -v
FreeBSD 8.0-RELEASE

Код: Выделить всё

ns2# cat /etc/rc.conf

# -- sysinstall generated deltas -- # Mon Dec 28 16:08:16 2009
# Created: Mon Dec 28 16:08:16 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="xx.xx.x.x"
hostname="ns2.zzz.zz"
ifconfig_le0="inet xx.xx.x.x  netmask 255.255.255.x"
ifconfig_le1="inet 192.168.0.1  netmask 255.255.255.0"
sshd_enable="yes"
gateway_enable="yes"
firewall_enable="yes"
firewall_type="SIMPLE"
firewall_verbose_enable="yes"
natd_enable="yes"
natd_interface="le0"
natd_flags="-f /etc/natd.conf"
sendmail_enable="no"
named_enable="yes"
ns2#

Код: Выделить всё

ns2# ipfw show
00100     132      17544 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400       0          0 deny ip from 192.168.2.0/24 to any in via le0
00500       0          0 deny ip from 82.200.156.16/29 to any in via le1
00600      21       1008 deny ip from any to 10.0.0.0/8 via le0
00700       0          0 deny ip from any to 172.16.0.0/12 via le0
00800      12        576 deny ip from any to 192.168.0.0/16 via le0
00900       0          0 deny ip from any to 0.0.0.0/8 via le0
01000       0          0 deny ip from any to 169.254.0.0/16 via le0
01100       0          0 deny ip from any to 192.0.2.0/24 via le0
01200       0          0 deny ip from any to 224.0.0.0/4 via le0
01300       0          0 deny ip from any to 240.0.0.0/4 via le0
01400 2072830 1726290484 divert 8668 ip from any to any via le0
01500       0          0 deny ip from 10.0.0.0/8 to any via le0
01600       0          0 deny ip from 172.16.0.0/12 to any via le0
01700       0          0 deny ip from 192.168.0.0/16 to any via le0
01800       0          0 deny ip from 0.0.0.0/8 to any via le0
01900       0          0 deny ip from 169.254.0.0/16 to any via le0
02000       0          0 deny ip from 192.0.2.0/24 to any via le0
02100       0          0 deny ip from 224.0.0.0/4 to any via le0
02200       0          0 deny ip from 240.0.0.0/4 to any via le0
02300 4061208 3447671020 allow tcp from any to any established
02400       0          0 allow ip from any to any frag
02500       1         48 allow tcp from any to me dst-port 8022 setup
02600       0          0 allow tcp from any to me dst-port 21 setup
02700       1         40 allow tcp from any to me dst-port 53 setup
02800     574      39455 allow udp from any to me dst-port 53
02900     485      76715 allow udp from me 53 to any
03000       3        144 allow tcp from any to me dst-port 80 setup
03100   19351    1041768 deny log logamount 50 tcp from any to any in via le0 setup
03200   34954    1677792 allow tcp from any to any setup
03300    2069     330509 allow udp from me to any dst-port 53 keep-state
03400       0          0 allow udp from me to any dst-port 123 keep-state
03500    1999     143343 allow icmp from any to any
65535   15023    1754808 deny ip from any to any
ns2#

Код: Выделить всё

ns2# cat /etc/natd.conf
use_sockets
same_ports
redirect_port tcp 192.168.0.2:80        80
redirect_port tcp 192.168.0.2:21        21
ns2#

Код: Выделить всё

redirect_port tcp 192.168.0.1:80 80

Код: Выделить всё

ipfw add allow tcp from any to 192.168.0.1 80 via le0
ipfw add allow tcp from any to 192.168.0.1 80 via le1

Код: Выделить всё

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"

Код: Выделить всё

hostname="bsd.lan.local"
ifconfig_em0="inet 192.168.11.7 netmask 255.255.255.0"
defaultrouter="192.168.11.1"
ifconfig_le0="inet 192.168.99.1 netmask 255.255.255.0"
local_unbound_enable="YES"
sshd_enable="YES"
moused_enable="YES"
ntpd_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/ipfw.conf"
firewall_nat_enable="YES"
natd_enable="YES"
natd_interface="em0"
#natd_flags="-f /etc/natd.conf"
gateway_enable="YES"
ftpd_enable="YES" 

Код: Выделить всё

net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=100
net.inet.ip.fw.one_pass=1

Код: Выделить всё

#!/bin/sh

### Команда для общения с ipfw
fwcmd="/sbin/ipfw -q"

### le0 - это внутренний сетевой интерфейс
### с IP-адресом 192.168.99.1
iip="192.168.99.1"
imask="255.255.255.0"
inet="192.168.99.0"
iif="le0"

### em0 - это интерфейс интернета
### IP, маска, подсеть и т.д. - чисто для примера
oip="192.168.11.7"
omask="255.255.255.0"
onet="192.168.11.0"
oif="em0"

### Очищаем текущий набор правил
${fwcmd} -f flush

### Правила до NAT

### Через em0 не может быть трафика с серыми IP
${fwcmd} add deny all from 10.0.0.0/8 to any in via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any in via ${oif}
#${fwcmd} add deny all from 192.168.0.0/16 to any in via ${oif}
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
#${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
### Ну и на внутреннем интерфейсе - откуда взяться внешнему трафику
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
### Позволяем ходить трафику внутри наших сетей
${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask}

### NAT

### Исходящий трафик в интернет - пропускаем через NAT
${fwcmd} add divert natd ip from ${inet}:${imask} to any out via ${oif}
### Входящий трафик на ${oip} - т.е. на IP адрес самого маршрутизатора
### тоже загоняем в NATD - для демаскировки
${fwcmd} add divert natd ip from any to ${oip} in via ${oif}

### Правила после NAT

### Весь трафик, исходящий с этого роутера - разрешен. Это же правило
### срабатывает при маскировке - если его отключить, что в интернет после
### NAT ничего улетать не будет
${fwcmd} add allow all from me to any
### Не проверяем пакеты, проходящие по уже установленному, соответственно,
### проверенному соединению TCP
${fwcmd} add allow all from any to any established
### Запрещаем длинные фрагментированые эхо-запросы
${fwcmd} add deny icmp from any to any frag
### Разрешаем проходить вторым и более частям фрагментированных пакетов
### (их заголовки мы уже проверили)
${fwcmd} add allow all from any to any frag
### Разрешаем пользователям ломиться на почту по SMTP и получать ее по
### POP3, IMAP
${fwcmd} add allow tcp from ${inet}:${imask} to any dst-port 25,110,143,465,99
${fwcmd} add allow tcp from any 25,110,143,465,995 to ${inet}:${imask}
### Разрешаем резолвить DNS-имена
${fwcmd} add allow all from any to any dst-port 53
${fwcmd} add allow all from any 53 to any
### Разрешаем ходить по SSH
${fwcmd} add allow all from any to any dst-port 22
${fwcmd} add allow all from any 22 to any
### Разрешаем обновление времени через NTP
${fwcmd} add allow all from any to any dst-port 123
${fwcmd} add allow all from any 123 to any
### Разрешаем ходить по FTP только определенным IP
${fwcmd} add allow all from 192.168.99.2 to any dst-port 20,21,49152-65535
${fwcmd} add allow all from any 20,21,49152-65535 to 192.168.99.2
### Разрешаем подключаться через RDP (Windows Terminals)
${fwcmd} add allow all from any to any dst-port 3389
${fwcmd} add allow all from any 3389 to any
### Разрешаем ходить по HTTP/S
${fwcmd} add allow all from any to any dst-port 80,443
${fwcmd} add allow all from any 80,443 to any
### Разрешаем все пинги изнутри
${fwcmd} add allow icmp from any to any icmptypes 0,8,11
### И запрещаем некоторые типы пингов снаружи
${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,11,12 via ${oif}
### Разрешаем ICQ
${fwcmd} add allow all from any to any dst-port 5190
${fwcmd} add allow all from any 5190 to any
###Разрешаем UDP
${fwcmd} add allow udp from ${inet}:${imask} to any
### Запрещаем IDENT
${fwcmd} add reset tcp from any to any 113 in via ${oif} setup
${fwcmd} nat 1 config log if ${oif} reset same_ports deny_in redirect_port tcp
### Запрещаем все установления связи из-вне
${fwcmd} add deny tcp from any to any in via ${oif} setup
### Запрещаем broadcast через внешний интерфейс
${fwcmd} add deny ip from any to 0.0.0.255:0.0.0.255 in via ${oif}
### Запрещаем SMB соединения из-вне
${fwcmd} add deny udp from any to any 137-139 via ${oif}
### Запрещаем все остальное из-вне
${fwcmd} add deny ip from any to any via ${oif}