Страница 1 из 2
firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-25 17:17:19
hammer68
В общем ситуация такая есть 12 компов соединенных в локалку
Есть роутер с freeBSD
Теперь собственно в чем проблема,
В конфигурацию ядра добавил
Код: Выделить всё
options MROUTING # Multicast routing
options PIM # Protocol Independent Multicast
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPV6FIREWALL #firewall for IPv6
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT=100
#options IPV6FIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT #divert sockets
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging
options IPFILTER_DEFAULT_BLOCK #block all packets by default
options IPSTEALTH #support for stealth forwarding
options TCPDEBUG
далее дал
в rc.conf есть записи
Код: Выделить всё
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/usr/local/billing/rc.firewall"
firewall настроен так
Код: Выделить всё
ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any via rl1
${ipfw} add 01280 allow all from any to 82.179.144.31 via rl1
${ipfw} add 65000 allow all from any to any
по умолчанию 65535 стоит deny ip from any to any
ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще
Что собственно мне надо от firewall'а это чтоб мона было отрубить инет на всех компах или наооборот врубить его
ЗЫ на всех компах кромероутера стоит MANDRIVA
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-25 17:32:28
squid
Код: Выделить всё
${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any
потом
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-25 18:36:11
abanamat
hammer68 писал(а):ВНИМАНИЕ ВОПРОС ПОЧЕМУ Я НЕ МОГУ УБРАТЬ ПОСЛЕДНЮЮ СТРОЧКУ(ПРАВИЛО) 65000
без нее инета нет вообще
внимание - великая сила.
перегрузиццо?
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-25 23:51:11
Alex Keda
при таких запросах ватило бы файрвола из двух чтрок - нат и разрешающая.
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-26 9:42:06
hammer68
там видишь 31 нужно чтоб всегда работал а если есть 65000 правило то все всегда в сети и я немогу их обрубить не отрубая себя
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-26 9:43:14
hammer68
внимание - великая сила.
перегрузиццо?
не помогает пробовал
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-26 9:44:38
hammer68
я просто не могу понять почему без правила 65000 ниче не работает инета нет нигде ???
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-26 9:47:52
squid
squid писал(а):Код: Выделить всё
${ipfw} add allow all from any to any via lo0
${ipfw} add 65000 deny log all from any to any
потом
сделай так и посмотришь что у тебя закрыто и почему не работает
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-29 11:57:30
yakuzzza
Код: Выделить всё
options IPFILTER_DEFAULT_BLOCK #block all packets by default
Опция блокирует все даже при разрешающем правиле в файрволле ipfw.
Надо сделать ядро без этой опции и добавить:
Ну и из рюшек убрать поддержку IPv6 со всего ядра.
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-29 12:01:23
yakuzzza
Да и мой кусок одного из ядер, отвечающих за файрволл:
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options IPSTEALTH
options TCPDEBUG
options MBUF_STRESS_TEST
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
options TCP_DROP_SYNFIN
options DUMMYNET
options BRIDGE
options QUOTA
options HZ=1000
options DEVICE_POLLING
device gre
device if_bridge
device pf
device pflog
device pfsync
device carp
device ppp
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
options ALTQ_NOPCC
options ALTQ_DEBUG
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-30 18:21:49
hammer68
чето все равно ниче не получается убрал natd нафиг благо IP нормальные
как я понимаю теперь мой простейший firewall должен работать без правила 65000 или НЕТ ???????
Код: Выделить всё
ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 01010 allow all from 82.179.144.17/29 to any
${ipfw} add 01020 allow all from any to 82.179.144.17/29
${ipfw} add 01270 allow all from 82.179.144.31 to any
${ipfw} add 01280 allow all from any to 82.179.144.31
${ipfw} add 65000 allow all from any to any
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-30 23:03:43
JamIr
Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:10:14
Гость
JamIr писал(а):Вопрос номер один: ты делал так, как советовал squid? если да, то что ты видишь?
Вопрос номер два: я так понимаю, что ипы внешние и их два? покажи ifconfig и как у тебя роутинг прописывается?
А то бред какой-то.
Код: Выделить всё
tidex-vlan# tail -f /var/log/security
Oct 25 18:41:15 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0 Oct 25 18:41:20 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:45924 64.12.28.64:5190 out via rl0
Oct 25 18:41:21 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:910 82.179.158.252:111 out via rl0
Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0
Oct 25 18:41:25 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:26 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 64.12.28.64:5190 82.179.144.31:45924 in via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0
Oct 25 18:41:30 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:33075 82.179.158.252:832 out via rl0
Oct 25 18:41:33 tidex-vlan /boot/kernel: ipfw: 65000 Deny TCP 82.179.158.249:32971 82.179.158.252:111 out via rl0
tidex-vlan# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
ether 00:e0:4c:39:28:bc
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
ether 00:e0:4c:39:2d:c2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
если надо выложу все свое ядро и rc.conf
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:14:00
hammer68
последний пост мой
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:15:44
Alex Keda
кнопочку коде юзай
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:25:32
hammer68
lissyara писал(а):кнопочку коде юзай
не врубился чет а если для простых смертных про чеэто
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:35:26
squid
какая из сетевух у тебя смотрит в инет ?
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:40:58
hammer68
и еще пришлось вернуть natd обратно а то у нас сделано что домашние каталоги монтируются с кластера а без натда монтирования непроисходит
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:42:07
hammer68
squid писал(а):какая из сетевух у тебя смотрит в инет ?
rl0 которая 249
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 15:52:05
squid
для начала нужно разрешить самому роутеру ходить в инет
Код: Выделить всё
Oct 25 18:41:23 tidex-vlan /boot/kernel: ipfw: 65000 Deny UDP 82.179.158.249:1109 195.19.107.1:53 out via rl0
правила примерно такого вида
Код: Выделить всё
${ipfw} add allow all from 82.179.158.249 to any
${ipfw} add allow all from any to 82.179.158.249
походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 16:33:16
hammer68
squid писал(а):
походу rl1 - локалка
то используй диапон адресов 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8
смысл айпишники статичные
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 16:41:44
JamIr
смысл айпишники статичные
такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-10-31 16:48:25
squid
без смысла
почитай RFC 3330
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-11-01 12:41:53
hammer68
JamIr писал(а):смысл айпишники статичные
такой совершенно нескромный вопрос: что это значит? rl0 - смотрит в инет, а rl1 смотрит в локалку, но имеет внешний ип??? или не так все-таки?
да не внешний а статичный то есть мне натд не нужет при этом и из внешки я могу влесть на любой на прямую
ЗЫ незнаю правильно ли обеснил
Re: firewall под freeBSD народ помогите плиз
Добавлено: 2007-11-01 15:28:53
hammer68
все теперь после разрешения роутеру ходить в инет
все работает
Всем ОГРОМНОЕ спасибо
