The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Check-state ipfw NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Check-state ipfw NAT"  
Сообщение от Alex123 on 25-Ноя-08, 15:17 
народ, помогите разобраться с динамичекими правилами:

если у меня конструкция

....
add 100 chek-state
add 200 nat 1 ip from any to any via {outinterface}
....
add 900 allow ip from any to any http keep-state via {outinterface}

идея была такая:
хотел чтоб натилось не всё подряд, а только то, что удовлетворяет  правилу 900,
а получилось (похоже), что всё что удовлетворяет правилу 900 пускается в обход НАТа,

Как делать чтобы соединения инициируемые мной и ответы на них поподали в нат, а всё остальное банилось?

к примеру: пакет "от 192.168.0.5:1088 (внутренняя сеть) на 10.124.5.80:80 (внешняя сеть с левым диапазоном, пример)" попал в НАТ, стал пакетом "от 10.16.0.8:1088 (внутренняя сеть) на 10.124.5.80:8" ушёл через внешний интерфейс
со внешнего интерфеса пришёл ответ: пакет "от 10.124.5.80:80 на 10.16.0.8:1088", надо чтоб он попал в НАТ, а спам  пакет "от 10.4.50.80:80 на 10.16.0.8:1088" в НАТ не попал.

(пример выдуманный)

Как правильно напиать правила?

Заранее спасибо, с уважением,
Alex123.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Check-state ipfw NAT"  
Сообщение от Grey (ok) on 25-Ноя-08, 15:35 
>[оверквотинг удален]
>со внешнего интерфеса пришёл ответ: пакет "от 10.124.5.80:80 на 10.16.0.8:1088", надо чтоб
>он попал в НАТ, а спам  пакет "от 10.4.50.80:80 на
>10.16.0.8:1088" в НАТ не попал.
>
>(пример выдуманный)
>
>Как правильно напиать правила?
>
>Заранее спасибо, с уважением,
>Alex123.

диверт "any to any" а ДО диверта не нужное отрубать ... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Check-state ipfw NAT"  
Сообщение от Alex123 on 25-Ноя-08, 15:42 
>диверт "any to any" а ДО диверта не нужное отрубать ... :)
>

ЭЭЭЭЭЭЭЭЭ............
КАК? Я привёл пример, можно ли на его основе составить примерный список правил??

А то я сильно тормажу и не понимаю,как это сделать :((

Правильны ли мои догадки с check-state??


Спасибо, с уважением,
Alex123.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Check-state ipfw NAT"  
Сообщение от Grey (ok) on 25-Ноя-08, 15:46 
>[оверквотинг удален]
>КАК? Я привёл пример, можно ли на его основе составить примерный список
>правил??
>
>А то я сильно тормажу и не понимаю,как это сделать :((
>
>Правильны ли мои догадки с check-state??
>
>
>Спасибо, с уважением,
>Alex123.

ну проясните для себя что такое check-state....
совсем немного почитать и подумать ... исходя из "начитанного" стройте правила ...
дивертить всё! а вот до диверта что не надо резать ... (хоть всё) :)
есть правда и другие подходы ... но это уж вам и карты в руки ... высказываю просто свою позицию по этому поводу ...
... в том смысле что в своей сети вам виднее кто есть кто и кому куда надо ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Check-state ipfw NAT"  
Сообщение от Alex123 on 25-Ноя-08, 18:55 
>ну проясните для себя что такое check-state....
>совсем немного почитать и подумать ... исходя из "начитанного" стройте правила ...

а сслочку можно, из того что я нашёл, я понял что это эквивалент allow для прямых и обратных пакетов в уже установленных через keep-state  соединениий; но надеюь, что я не прав, по этому и прошу уточнить, ну или если я не прав раживать, или сслку кинуть, ман читал, но с английским туговато :(  

Спасибо, с уважением,
Alex123.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 00:32 
Ни у кого никаких идей???!!!

С уважением,
Alex123.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 01:39 
>Ни у кого никаких идей???!!!

Какую идею почерпнутую не из мана вы хотите услышать?
в маны вас уже направили...готовых примеров в инете полно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 17:55 
>Какую идею почерпнутую не из мана вы хотите услышать?
>в маны вас уже направили...готовых примеров в инете полно

из мана я понял, что должно работать

add 100 chek-state
add 200 nat 1 ip from any to any via {outinterface}
....
add 900 skipto 1000 ip from any to any http keep-state via {outinterface}
add 1000 allow ip from any to any http out via {outinterface}
add 1100 skipto 200 ip from any http to any in via {outinterface}


но почему-то ответный пакет не проходит через НАТ :((((((((
Что я делую не так?????

С уважением,
Alex123.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 20:12 
>[оверквотинг удален]
>add 900 skipto 1000 ip from any to any http keep-state via
>{outinterface}
>add 1000 allow ip from any to any http out via {outinterface}
>
>add 1100 skipto 200 ip from any http to any in via
>{outinterface}
>
>
>но почему-то ответный пакет не проходит через НАТ :((((((((
>Что я делую не так?????

вы не правильно поняли смысл опции chek-state
напишите правила файрвола без использования опций chek-state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 21:01 
>вы не правильно поняли смысл опции chek-state
>напишите правила файрвола без использования опций chek-state

Пожайлуста, разясните что такое chek-state, или как написать правила, в которых учитывается кто инициировал соединение: т.е. например, если я (мой комп) отсылает запрос на некий DNS сервер т.е исх udp с 10.25.65.1:1187(мой комп)  на 10.15.55.43:53 (некий DNS сервер), то я хочу получить ответ: входящий udp с 10.15.55.43:53 (некий DNS сервер) на 10.25.65.1:1187 (мой комп); но если мой комп запроса на 10.15.55.43:53 (некий DNS сервер) не подовал, а пришёл ответ: входящий udp с 10.15.55.43:53 (некий DNS сервер) на 10.25.65.1:1187 (мой комп), то я не хочу пускать его в НАТ.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 21:37 
>>вы не правильно поняли смысл опции chek-state
>>напишите правила файрвола без использования опций chek-state
>
>Пожайлуста, разясните что такое chek-state, или как написать правила, в которых >учитывается кто инициировал соединение:

стабильность.... стабильность это прекрасно (с) Конфуций

входящие в нат пакеты не имеющие исходящего соответствия -убиваются.

в случае импользования natd можно добавить опцию явно:
deny_incoming

ядерный нат постпает так по умолчанию.

это написано вот тут:
http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sekt...

в частности:
===============================================================
NAT, REDIRECT AND LSNAT
     First redirect all the traffic to nat instance 123:

       ipfw add nat 123 all from any to any

     Then to configure nat instance 123 to alias all the outgoing traffic with
     ip 192.168.0.123, blocking all incoming connections, trying to keep same
     ports on both sides, clearing aliasing table on address change and keep-
     ing a log of traffic/link statistics:

       ipfw nat 123 config ip 192.168.0.123 log deny_in reset same_ports

     Or to change address of instance 123, aliasing table will be cleared (see
     reset option):

       ipfw nat 123 config ip 10.0.0.1

     To see configuration of nat instance 123:

       ipfw nat 123 show config

     To show logs of all the instances in range 111-999:

       ipfw nat 111-999 show

     To see configurations of all instances:

       ipfw nat show config

     Or a redirect rule with mixed modes could looks like:

       ipfw nat 123 config redirect_addr 10.0.0.1 10.0.0.66
               redirect_port tcp 192.168.0.1:80 500
               redirect_proto udp 192.168.1.43 192.168.1.1
               redirect_addr 192.168.0.10,192.168.0.11
                   10.0.0.100 # LSNAT
               redirect_port tcp 192.168.0.1:80,192.168.0.10:22
                   500          # LSNAT

     or it could be splitted in:

       ipfw nat 1 config redirect_addr 10.0.0.1 10.0.0.66
       ipfw nat 2 config redirect_port tcp 192.168.0.1:80 500
       ipfw nat 3 config redirect_proto udp 192.168.1.43 192.168.1.1
       ipfw nat 4 config redirect_addr
       192.168.0.10,192.168.0.11,192.168.0.12
                    10.0.0.100
       ipfw nat 5 config redirect_port tcp
              192.168.0.1:80,192.168.0.10:22,192.168.0.20:25 500
====================

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 21:50 
>[оверквотинг удален]
>
>в случае импользования natd можно добавить опцию явно:
>deny_incoming
>
>ядерный нат постпает так по умолчанию.
>
>это написано вот тут:
>http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sekt...
>
>в частности:

У меня ядерный нат, но хотелось бы всё-таки разобраться с check-state, и динамичскими правилами вообще, раз уж связался :)

т.е. достаточно
в строку конфигурации нат прописать deny_in reset same_ports?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 21:52 
>[оверквотинг удален]
>>это написано вот тут:
>>http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sekt...
>>
>>в частности:
>
>У меня ядерный нат, но хотелось бы всё-таки разобраться с check-state, и
>динамичскими правилами вообще, раз уж связался :)
>
>т.е. достаточно
>в строку конфигурации нат прописать deny_in reset same_ports?

не бойтесь эксперементировать и читать логи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 23:07 
>не бойтесь эксперементировать и читать логи

Да вообщем в логах и сижу, из них увидел, что почему-то нат не хачет, принемать пакеты, перекинутые таким образом.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 28-Ноя-08, 05:22 
>>не бойтесь эксперементировать и читать логи
>
>Да вообщем в логах и сижу, из них увидел, что почему-то нат
>не хачет, принемать пакеты, перекинутые таким образом.

вы не правильно поняли смысл опции chek-state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Check-state ipfw NAT"  
Сообщение от Alex123 on 28-Ноя-08, 15:43 
>>>не бойтесь эксперементировать и читать логи
>>
>>Да вообщем в логах и сижу, из них увидел, что почему-то нат
>>не хачет, принемать пакеты, перекинутые таким образом.
>
>вы не правильно поняли смысл опции chek-state

ТАК подскажите, пожайлуста, что за зверь такой  chek-state и для чего он вообще нужен?

Зарание СПАСИБО!!!!!!!

ЗЫ: Без chek-state всё работает, но очень хочится разобраться :)

С уважением,
Alex123.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 21:19 
>>Ни у кого никаких идей???!!!
>
>Какую идею почерпнутую не из мана вы хотите услышать?
>в маны вас уже направили...готовых примеров в инете полно

ман я прочёл, но не понял, как оригинал, так и с

https://www.opennet.ru/base/net/ipfw_man.txt.html

По тому, что я прочёл (по ману), что я написал должно работать, но увы :((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 21:41 
>[оверквотинг удален]
>>
>>Какую идею почерпнутую не из мана вы хотите услышать?
>>в маны вас уже направили...готовых примеров в инете полно
>
>ман я прочёл, но не понял, как оригинал, так и с
>
>https://www.opennet.ru/base/net/ipfw_man.txt.html
>
>По тому, что я прочёл (по ману), что я написал должно работать,
>но увы :((

вас ничего не смутило в строчке
"Неофициальный перевод документации по ipfw FreeBSD 4.x
"
? Нет?  Не смутило? Вы в курсе какая сейчас версия фри уже?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Check-state ipfw NAT"  
Сообщение от Alex123 on 27-Ноя-08, 21:44 
>вас ничего не смутило в строчке
>"Неофициальный перевод документации по ipfw FreeBSD 4.x
>"
>? Нет?  Не смутило? Вы в курсе какая сейчас версия фри
>уже?

У меня 7-ая,
но ман на английском не отличается в части  динамических правил. На сколько я смог разобрать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Check-state ipfw NAT"  
Сообщение от Square (ok) on 27-Ноя-08, 21:46 
>>вас ничего не смутило в строчке
>>"Неофициальный перевод документации по ipfw FreeBSD 4.x
>>"
>>? Нет?  Не смутило? Вы в курсе какая сейчас версия фри
>>уже?
>
>У меня 7-ая,
>но ман на английском не отличается в части  динамических правил. На
>сколько я смог разобрать.

в 4-й ветке небыло ядерного ната
вы упорно продолжаете читать мануал на по, и используете функции которые в том по отсутствовали...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру