forum.opennet.ru - "Прошу помощи с FreeBSD" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Прошу помощи с FreeBSD"

Форумы Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прошу помощи с FreeBSD"		+/–
Сообщение от ВнушеК on 14-Мрт-10, 19:10
Привет товарищи! Решил привести в порядок правила фаервола, сделать всё по полочкам. В итоге чего-то не раздаётся натом инет в локалку. Интерфейсы: nfe0 - сетевуха 10.0.84.5/24 gw - локалка провайдера, через неё подключаю инет pptp. ng0 - внешний интерфейс, белый ИП. rl0 - локалка которой хочу раздать инет. natd работает. До этого момента у меня был настроен инет для локалки, но решил причесать все правила, чтобы всё лишнее запрещалось, а в предыдущем случае в конце правило было allow from any to any. ipfw show 00050 834 27304 allow ip from me to 10.0.0.1 via nfe0 out 00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in Разрешили установить VPN с провайдером 00100 0 0 check-state 00200 4 240 deny icmp from any to any in icmptypes 5,8,9,13,14,15,16,17 00300 11691 588087 deny tcp from any to me not dst-port 25,80,22222 in via ng0 00305 0 0 allow tcp from any to me dst-port 25,80,22222 in via ng0 00310 1 49 deny udp from any to me not dst-port 31194 in via ng0 00315 4 1639 allow udp from any to me dst-port 31194 in via ng0 00320 0 0 deny tcp from any to me not dst-port 53,80,22222 in via rl0 00325 0 0 allow tcp from any to me dst-port 53,80,22000 in via rl0 00330 0 0 deny udp from any to me not dst-port 53,123 in via rl0 00335 0 0 allow udp from any to me dst-port 53,123 in via rl0 00340 0 0 deny tcp from any to me not dst-port 53,80,22222 in via wlan0 00345 0 0 allow tcp from any to me dst-port 53,80,22222 in via wlan0 00350 0 0 deny udp from any to me not dst-port 53,123,31194 in via wlan0 00355 0 0 allow udp from any to me dst-port 53,123,31194 in via wlan0 00360 0 0 deny tcp from any to me not dst-port 53,80,22222 in via tun0 00370 0 0 deny udp from any to me not dst-port 123 in via tun0 Дал доступ ко мне только к разрешённым ресурсам. 00400 0 0 deny ip from table(3) to me in via ng0 В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли. 00500 10 810 allow ip from me to any keep-state Мне можно всё. 00600 0 0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080 via ng0 out Нужных клиентов заворачиваем на прозрачный прокси. 00650 0 0 divert 8668 ip from table(2) to not me via ng0 out Неудачная попытка раздачи интернета 50000 139 13004 deny log logamount 100 ip from any to any Остальное запрещаем и для отладки пишем в лог. Так вот в логе при попытке вылезти из локалки в инет такие сообщения: ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0 Помогите пожалста разобраться
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Прошу помощи с FreeBSD, daloman, 23:03 , 14-Мрт-10, (1)

Прошу помощи с FreeBSD, ВнушеК, 00:52 , 15-Мрт-10, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Прошу помощи с FreeBSD" +/–

Сообщение от daloman on 14-Мрт-10, 23:03

>[оверквотинг удален]
>natd работает. До этого момента у меня был настроен инет для локалки,
>но решил причесать все правила, чтобы всё лишнее запрещалось, а в
>предыдущем случае в конце правило было allow from any to any.
>
>
>ipfw show
>00050   834   27304 allow ip from me to
>10.0.0.1 via nfe0 out
>00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in
>
Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся.
>[оверквотинг удален]
>via wlan0
>00355     0
>0 allow udp from any to me dst-port 53,123,31194 in via
>wlan0
>00360     0
>0 deny tcp from any to me not dst-port 53,80,22222 in
>via tun0
>00370     0
>0 deny udp from any to me not dst-port 123 in
>via tun0
Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw
>
>Дал доступ ко мне только к разрешённым ресурсам.
>00400     0
>0 deny ip from table(3) to me in via ng0
>
А точнее - запретили прохождение пакетов.
>В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли.
>
>00500    10     810 allow ip
>from me to any keep-state
>
>Мне можно всё.
Разрешаете прохождение пакетов с адресов локальных интерфейсов самого шлюза.
>00600     0
>0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080
>via ng0 out
Выполняется "форвардинг" пакетов адресованных любым адресам, кроме адресов локальных интерфесов шлюза.
>
>Нужных клиентов заворачиваем на прозрачный прокси.
>00650     0
>0 divert 8668 ip from table(2) to not me via ng0
>out
Выполняется трансляция адресов.
>
>Неудачная попытка раздачи интернета
>50000   139   13004 deny log logamount 100 ip
>from any to any
>
>Остальное запрещаем и для отладки пишем в лог.
>
>Так вот в логе при попытке вылезти из локалки в инет такие
>сообщения:
>ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0
Соответственно, пакеты от хоста 172.16.254.10 не соответствуют ни одному правилу применяющемуся до 50000 и согласно ему - блокируются.
>
>Помогите пожалста разобраться
Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь с правилами фаервола. Так сказать, на свежую голову :) Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, firewall type SIMPLE.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Прошу помощи с FreeBSD" +/–

Сообщение от ВнушеК on 15-Мрт-10, 00:52

>Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь
>с правилами фаервола. Так сказать, на свежую голову :)
Спать лягу уже сейчас :)
>Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall,
>firewall type SIMPLE.
Все мои на самом деле комменты в описании правил были как-бы сдвинуты вниз, т.е. под набором правил я описывал что этим правилом делал. Вы вроде как я понял восприняли что я описываю комментариями следующие за ними правила :) Виноват я в не совсем правильной подаче информации :)
Завтра и впрямь посмотрю простой конфиг фаервола, может и впрямь не надо ничего городить своего :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прошу помощи с FreeBSD"		+/–
Сообщение от daloman on 14-Мрт-10, 23:03
>[оверквотинг удален] >natd работает. До этого момента у меня был настроен инет для локалки, >но решил причесать все правила, чтобы всё лишнее запрещалось, а в >предыдущем случае в конце правило было allow from any to any. > > >ipfw show >00050 834 27304 allow ip from me to >10.0.0.1 via nfe0 out >00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in > Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся. >[оверквотинг удален] >via wlan0 >00355 0 >0 allow udp from any to me dst-port 53,123,31194 in via >wlan0 >00360 0 >0 deny tcp from any to me not dst-port 53,80,22222 in >via tun0 >00370 0 >0 deny udp from any to me not dst-port 123 in >via tun0 Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw > >Дал доступ ко мне только к разрешённым ресурсам. >00400 0 >0 deny ip from table(3) to me in via ng0 > А точнее - запретили прохождение пакетов. >В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли. > >00500 10 810 allow ip >from me to any keep-state > >Мне можно всё. Разрешаете прохождение пакетов с адресов локальных интерфейсов самого шлюза. >00600 0 >0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080 >via ng0 out Выполняется "форвардинг" пакетов адресованных любым адресам, кроме адресов локальных интерфесов шлюза. > >Нужных клиентов заворачиваем на прозрачный прокси. >00650 0 >0 divert 8668 ip from table(2) to not me via ng0 >out Выполняется трансляция адресов. > >Неудачная попытка раздачи интернета >50000 139 13004 deny log logamount 100 ip >from any to any > >Остальное запрещаем и для отладки пишем в лог. > >Так вот в логе при попытке вылезти из локалки в инет такие >сообщения: >ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0 Соответственно, пакеты от хоста 172.16.254.10 не соответствуют ни одному правилу применяющемуся до 50000 и согласно ему - блокируются. > >Помогите пожалста разобраться Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь с правилами фаервола. Так сказать, на свежую голову :) Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, firewall type SIMPLE.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Прошу помощи с FreeBSD"		+/–
	Сообщение от ВнушеК on 15-Мрт-10, 00:52
	>Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь >с правилами фаервола. Так сказать, на свежую голову :) Спать лягу уже сейчас :) >Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, >firewall type SIMPLE. Все мои на самом деле комменты в описании правил были как-бы сдвинуты вниз, т.е. под набором правил я описывал что этим правилом делал. Вы вроде как я понял восприняли что я описываю комментариями следующие за ними правила :) Виноват я в не совсем правильной подаче информации :) Завтра и впрямь посмотрю простой конфиг фаервола, может и впрямь не надо ничего городить своего :)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору