forum.opennet.ru - "В чем грабли IPFW не подскажете, Гуру" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"В чем грабли IPFW не подскажете, Гуру"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"В чем грабли IPFW не подскажете, Гуру"
Сообщение от Андрей on 03-Янв-04, 20:13 (MSK)
Вот выставляю на обозрение текущий конфиг rc.firewall: Fria# cat /etc/rc.firewall /sbin/ipfw add 100 check-state #Zaprescajem prohozdenije "opasnih icmp fragmentirovannyh paketov" /sbin/ipfw add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 /sbin/ipfw add 210 deny icmp from any to any frag #Zaprescaem polzovatelej-neplatioznikov /sbin/ipfw add 211 deny all from 10.1.0.104 to any /sbin/ipfw add 212 deny all from any to 10.1.0.104 #Sobstvenno sam demon nata, svoracivajuscij vse pakety na vnesnij i-face /sbin/ipfw add 290 divert natd all from any to any via rl1 #Razreshajem traffic tolko v predelah local area network: /sbin/ipfw add 291 allow all from any to any via rl0 #Obiazatelno! razresaem ves traffic cerez loopback interface /sbin/ipfw add 300 allow ip from any to any via lo0 #Razresaem ves traffic ot routera v inet cerez i-face rl1 /sbin/ipfw add 310 allow tcp from me to any keep-state via rl1 #Razresaem ves drugoj ne vrednyj icmp traffic /sbin/ipfw add 320 allow icmp from any to any #Razresaem 53 port (DNS) no tolko udp port, t.k. 53 tcp opasen! /sbin/ipfw add 330 allow udp from me to any domain keep-state /sbin/ipfw add 331 allow udp from any to me domain #Razresaem ves traffic ot routera /sbin/ipfw add 332 allow all from me to any #Razresaem ves traffic po portam 20,21 /sbin/ipfw add 333 allow all from any to any 20-21 out /sbin/ipfw add 334 allow all from any 20-21 to any out #Razresaem SMTP traffic na 25 porte /sbin/ipfw add 335 allow all from any to any 25 out /sbin/ipfw add 336 allow all from any 25 to any 25 out #Razresaem POP3 traffic na porte 110 /sbin/ipfw add 337 allow all from any to any 110 out /sbin/ipfw add 338 allow all from any 110 to any out #Razresaem HTTP traffic na 80 porte cerez LAN i-face #Razresaem HTTP traffic na 80 porte cerez LAN i-face /sbin/ipfw add 339 allow all from any to any 80 out via rl0 /sbin/ipfw add 340 allow all from any 80 to any out via rl0 #Razresaem HTTP traffic na 80 porte /sbin/ipfw add 341 allow all from any to any 80 out /sbin/ipfw add 342 allow all from any 80 to any out #Razresaem ves HTTP /sbin/ipfw add 343 allow all from any to any 80 /sbin/ipfw add 344 allow all from any 80 to any #Razresaem HTTPS traffic na 443 porte /sbin/ipfw add 345 allow all from any to any 443 out /sbin/ipfw add 346 allow all from any 443 to any out #V celiah bezopasnosti razresaem SSH traffic tolko s Mashini Admina cerez local i-face /sbin/ipfw add 347 allow all from 10.1.0.50 to 10.1.0.1 22 in via rl0 /sbin/ipfw add 348 allow all from 10.1.0.1 to 10.1.0.50 22 out via rl0 #Razresaem DHCP traffic ( Server i klientskie zaprosi ) /sbin/ipfw add 349 allow all from any to 10.1.0.1 67-68 in via rl0 /sbin/ipfw add 350 allow all from 10.1.0.1 to any out via rl0 #Razresaem demon nata /sbin/ipfw add 351 allow all from any to any natd out /sbin/ipfw add 352 allow all from any natd to any out #Ostalnoje vsio zaprescajem ( deny vsio po defoltu 65535 pravilo ) И ничего не работает, а начинает только работать если добавляю ipfw add 293 allow all from any to any. Может размещение неправильное или построение синтаксиса?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

В чем грабли IPFW не подскажете, Гуру, bkack_cat, 20:27 , 03-Янв-04, (1)
- В чем грабли IPFW не подскажете, Гуру, Андрей, 22:20 , 03-Янв-04, (2)
В чем грабли IPFW не подскажете, Гуру, Alatar, 22:53 , 03-Янв-04, (3)
- В чем грабли IPFW не подскажете, Гуру, boomerangs, 00:31 , 10-Янв-04, (4)
  - В чем грабли IPFW не подскажете, Гуру, boomerangs, 00:33 , 10-Янв-04, (5)
    - В чем грабли IPFW не подскажете, Гуру, Alatar, 17:58 , 13-Янв-04, (7)
В чем грабли IPFW не подскажете, Гуру, gluxoi, 00:58 , 10-Янв-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от bkack_cat on 03-Янв-04, 20:27  (MSK)

слушай, ну у всех бывают такие трудности поначалу.
Ты на правлильной дороге - подставляй allow from any to any
между своими правилами и смотри когда заработает
и найдеш что тебе не дает покою.
// кто ж тебе будет ковыряться в твоих конфигах
// хоть и с диким транслитом

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от Андрей on 03-Янв-04, 22:20  (MSK)

А что это за порты -
2000-2500 разрешил и все работает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от Alatar on 03-Янв-04, 22:53  (MSK)

>И ничего не работает, а начинает только работать если добавляю ipfw add
>293 allow all from any to any.
>Может размещение неправильное или построение синтаксиса?
Что именно не работает? вообще ничего, или НАТ? =)
Если НАТ, то это вполне понятно - он без правила allow from any to any и не будет работать - ему же необжодимо принимать пакеты от машин в LAN (с rl0) предназначенные машинам в inet (с rl1) То есть у этих пакетов src = 10.1.0.0/24, а dst = 0.0.0.0/0  =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от boomerangs on 10-Янв-04, 00:31  (MSK)

нет, в том то и дело, нат работает и без аллов алл, а вот если запрещаю порты 2000-2500 то ничего не работает, страницы не ворочает, хоть 53-1024 разрешены порты.
>>И ничего не работает, а начинает только работать если добавляю ipfw add
>>293 allow all from any to any.
>>Может размещение неправильное или построение синтаксиса?
>
>Что именно не работает? вообще ничего, или НАТ? =)
>Если НАТ, то это вполне понятно - он без правила allow from
>any to any и не будет работать - ему же необжодимо
>принимать пакеты от машин в LAN (с rl0) предназначенные машинам в
>inet (с rl1) То есть у этих пакетов src = 10.1.0.0/24,
>а dst = 0.0.0.0/0  =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от boomerangs on 10-Янв-04, 00:33  (MSK)

Вот именно интересует что это за порты tcp или udp, и за что они отвечают нигде не могу найти. насколько я понимаю, чтоюы всего лишь разрешить пользователям лазать по страничкам на до разрешить 53-1024 out via rl1 i 531024 in via rl1. А у меня без дополнительного 2000-2500 out via rl1 i 2000-2500 in via rl1 web не пашет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от Alatar on 13-Янв-04, 17:58  (MSK)

>Вот именно интересует что это за порты tcp или udp, и за
>что они отвечают нигде не могу найти. насколько я понимаю, чтоюы
>всего лишь разрешить пользователям лазать по страничкам на до разрешить 53-1024
>out via rl1 i 531024 in via rl1. А у меня
>без дополнительного 2000-2500 out via rl1 i 2000-2500 in via rl1
>web не пашет.
Не поленился, заправил твой конфиг в свой ipfw поправив его соответственно моей конфигурации... Пока правил обратил внимание - у тебя только out`ы везде... in`нов нема.. Ну это ладно - пакеты все равно не доходят до туда - виснут на 310`ом правиле. Без него все работает.
А касательно in-out - вот простой тест: пингуем 192.168.5.1 с 192.168.98.150 (сервак имеет адреса в 192.168.5 на rl0 и 192.168.98 на rl1)
00100 44 5033 divert 8668 ip from any to any via rl0
00400  0    0 allow icmp from me to any via rl0 in
00400  0    0 allow icmp from any to me via rl0 in
00400  0    0 allow icmp from me to any via rl1 in
00400  0    0 allow icmp from any to me via rl1 in
00400  3  180 allow icmp from me to any via rl0 out
00400  0    0 allow icmp from any to me via rl0 out
00400  0    0 allow icmp from me to any via rl1 out
00400  0    0 allow icmp from any to me via rl1 out
00500  0    0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl0 in
00500  3  180 allow icmp from 192.168.98.150 to 192.168.5.1 via rl1 in
00500  0    0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl0 out
00500  0    0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl1 out
00600  3  180 allow icmp from 192.168.5.1 to 192.168.98.150 via rl0 in
00600  0    0 allow icmp from 192.168.5.1 to 192.168.98.150 via rl1 in
00600  0    0 allow icmp from 192.168.5.1 to 192.168.98.150 via rl0 out
00600  3  180 allow icmp from 192.168.5.1 to 192.168.98.150 via rl1 out
65500 37 4561 deny ip from any to any
65535  0    0 allow ip from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "В чем грабли IPFW не подскажете, Гуру"

Сообщение от gluxoi on 10-Янв-04, 00:58  (MSK)

Зачем все в кучу сваливать. Елси ты пыташься разобраться с ipfw
делай все постепенно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В чем грабли IPFW не подскажете, Гуру"
Сообщение от bkack_cat on 03-Янв-04, 20:27 (MSK)
слушай, ну у всех бывают такие трудности поначалу. Ты на правлильной дороге - подставляй allow from any to any между своими правилами и смотри когда заработает и найдеш что тебе не дает покою. // кто ж тебе будет ковыряться в твоих конфигах // хоть и с диким транслитом
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "В чем грабли IPFW не подскажете, Гуру"
	Сообщение от Андрей on 03-Янв-04, 22:20 (MSK)
	А что это за порты - 2000-2500 разрешил и все работает?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "В чем грабли IPFW не подскажете, Гуру"
Сообщение от Alatar on 03-Янв-04, 22:53 (MSK)
>И ничего не работает, а начинает только работать если добавляю ipfw add >293 allow all from any to any. >Может размещение неправильное или построение синтаксиса? Что именно не работает? вообще ничего, или НАТ? =) Если НАТ, то это вполне понятно - он без правила allow from any to any и не будет работать - ему же необжодимо принимать пакеты от машин в LAN (с rl0) предназначенные машинам в inet (с rl1) То есть у этих пакетов src = 10.1.0.0/24, а dst = 0.0.0.0/0 =)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "В чем грабли IPFW не подскажете, Гуру"
	Сообщение от boomerangs on 10-Янв-04, 00:31 (MSK)
	нет, в том то и дело, нат работает и без аллов алл, а вот если запрещаю порты 2000-2500 то ничего не работает, страницы не ворочает, хоть 53-1024 разрешены порты. >>И ничего не работает, а начинает только работать если добавляю ipfw add >>293 allow all from any to any. >>Может размещение неправильное или построение синтаксиса? > >Что именно не работает? вообще ничего, или НАТ? =) >Если НАТ, то это вполне понятно - он без правила allow from >any to any и не будет работать - ему же необжодимо >принимать пакеты от машин в LAN (с rl0) предназначенные машинам в >inet (с rl1) То есть у этих пакетов src = 10.1.0.0/24, >а dst = 0.0.0.0/0 =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "В чем грабли IPFW не подскажете, Гуру"
	Сообщение от boomerangs on 10-Янв-04, 00:33 (MSK)
	Вот именно интересует что это за порты tcp или udp, и за что они отвечают нигде не могу найти. насколько я понимаю, чтоюы всего лишь разрешить пользователям лазать по страничкам на до разрешить 53-1024 out via rl1 i 531024 in via rl1. А у меня без дополнительного 2000-2500 out via rl1 i 2000-2500 in via rl1 web не пашет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "В чем грабли IPFW не подскажете, Гуру"
	Сообщение от Alatar on 13-Янв-04, 17:58 (MSK)
	>Вот именно интересует что это за порты tcp или udp, и за >что они отвечают нигде не могу найти. насколько я понимаю, чтоюы >всего лишь разрешить пользователям лазать по страничкам на до разрешить 53-1024 >out via rl1 i 531024 in via rl1. А у меня >без дополнительного 2000-2500 out via rl1 i 2000-2500 in via rl1 >web не пашет. Не поленился, заправил твой конфиг в свой ipfw поправив его соответственно моей конфигурации... Пока правил обратил внимание - у тебя только out`ы везде... in`нов нема.. Ну это ладно - пакеты все равно не доходят до туда - виснут на 310`ом правиле. Без него все работает. А касательно in-out - вот простой тест: пингуем 192.168.5.1 с 192.168.98.150 (сервак имеет адреса в 192.168.5 на rl0 и 192.168.98 на rl1) 00100 44 5033 divert 8668 ip from any to any via rl0 00400 0 0 allow icmp from me to any via rl0 in 00400 0 0 allow icmp from any to me via rl0 in 00400 0 0 allow icmp from me to any via rl1 in 00400 0 0 allow icmp from any to me via rl1 in 00400 3 180 allow icmp from me to any via rl0 out 00400 0 0 allow icmp from any to me via rl0 out 00400 0 0 allow icmp from me to any via rl1 out 00400 0 0 allow icmp from any to me via rl1 out 00500 0 0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl0 in 00500 3 180 allow icmp from 192.168.98.150 to 192.168.5.1 via rl1 in 00500 0 0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl0 out 00500 0 0 allow icmp from 192.168.98.150 to 192.168.5.1 via rl1 out 00600 3 180 allow icmp from 192.168.5.1 to 192.168.98.150 via rl0 in 00600 0 0 allow icmp from 192.168.5.1 to 192.168.98.150 via rl1 in 00600 0 0 allow icmp from 192.168.5.1 to 192.168.98.150 via rl0 out 00600 3 180 allow icmp from 192.168.5.1 to 192.168.98.150 via rl1 out 65500 37 4561 deny ip from any to any 65535 0 0 allow ip from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "В чем грабли IPFW не подскажете, Гуру"
Сообщение от gluxoi on 10-Янв-04, 00:58 (MSK)
Зачем все в кучу сваливать. Елси ты пыташься разобраться с ipfw делай все постепенно.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх