The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD 7.1 + NetAMS + ipnat + ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 23-Фев-09, 16:29 
Доброго времени суток. Я не так давно на фре(неделя или полторы), осознаю что вопросы подобные моим по любому поднимались. Но поюзав поиск, гугл, яндекс и перечитав большую кипу статей, я к сожалению не нашёл ответов на свои вопросы.
Что есть. FreeBSD 7.1, NetAMS из портов,трафик заворачиваю дивертом, ipnat и ipfw вкомпиленный в ядро. (апатч,мускул,пхп само собой) собственно вопросы:
1. Хотелось бы понять механику прохождения пакетов сквозь данную связку.
Я так понимаю происходит это следующим образом:
Пакет от источника в локальной сети попадает на внутренний инт. шлюза, там моё правило ipfw divert заворачивает его в нетамс, нетамс жуёт пакет, говорит что такому товарищу можно в инет (соответственно создан юнит и.т.п.) и вываливает пакет в систему, там его ловит ipnat, меняет ип адрес в заголовке и отправляет на внешний интерфейс, где пакет о5 упирается в ipfw, тут у меня стоит правило,которое разрешает пересылку пакетов из локалки сквозь внешний инт. и пакет вылетает наружу. прав-ли я? Или ipnat ловит пакет уже на выходе внешнего инт. после ipfw?


2. Интересно почитать мнения опытных админов о данной связке, обсчёту подлежат 10-30 компов, не хочется сейчас заморачиваться с netflow и.т.д.
Так же был бы признателен если удастся поглядеть на конфиг ipfw при такой связке. (это вообще вариант идеальный). Я просто не понимаю никак где именно писать правила дивертов.
ipnat на natd менять не хочется,т.к. сервачок очень слабенький, а за внешним инт. ещё и провайдерская локаль, так что торентеров и дцешников у меня в сети хватает,соединений тьма,благо канал к провайдеру в 1Гб\сек хоть как то облегчает жизнь моей сети =)

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от Merlin_ua (??) on 23-Фев-09, 18:20 
Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!! а вобще по фре почитай хендбук!!! это - твоё!!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 23-Фев-09, 18:27 
>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!!
>а вобще по фре почитай хендбук!!! это - твоё!!!

В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия.
Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через шлюз с бсд во вне.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от alisherk on 23-Фев-09, 19:33 
>>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!!
>>а вобще по фре почитай хендбук!!! это - твоё!!!
>
>В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и
>описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия.
>
>Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через
>шлюз с бсд во вне.

раз вы не ас, то пользуйте pf, он попроще будет.
трафик заворачивайте модулем netams для netgraph.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 23-Фев-09, 19:47 
>раз вы не ас, то пользуйте pf, он попроще будет.
>трафик заворачивайте модулем netams для netgraph.

Вы как раз во время, уже читаю как организовать данную связку, думаю, что так и буду делать. спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от tiv on 24-Фев-09, 01:31 
с ipnat как раз проще всего будет, не нужно следить за правильностью написания правил относительно divert natd, пакеты в ipnat попадут после прохождения правил ipfw, вначале вашего конфига rc.firewall впишите подобное
${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} in
${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} out
а вот с natd как раз нужно четкое понимание прохождения пакетов по правилам фаервола
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 24-Фев-09, 01:57 
>с ipnat как раз проще всего будет, не нужно следить за правильностью
>написания правил относительно divert natd, пакеты в ipnat попадут после прохождения
>правил ipfw, вначале вашего конфига rc.firewall впишите подобное
>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>in
>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>out
>а вот с natd как раз нужно четкое понимание прохождения пакетов по
>правилам фаервола

Отлично! значит я на верном пути в своём понимании =) Вы как раз подтверждаете мои мысли. И теперь уже мои пробы и ошибки.
В любом случае я опробую обе связки, хотя бы ради знаний. Тем более полигон в 2 шлюза мне это позволяет :-)

>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>in
>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>out

Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего. Как я понял из статей посвящённых netams и курению доков на их сайте именно на внутренний интерфейс надо сажать амску. Что я и сделал, сейчас всё работает, всё считается.

Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже.
Загвоздка имеется в понимании работы keep-state и established правил, т.к. виндовые приложения обычно всё делали за меня =) например АСС в нетворкшилде.
Думаю завтра уже сам разберусь в какой последовательности и при каких обстоятельствах использовать динамику. Ну или не разберусь и попрошу немного помощи в этом топике)
Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них признателен, т.к. разбираться на готовом примере для меня куда проще.

Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние ресурсы в топиках, но на свой страх и риск...
_http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1
Вот что нашёл,там в середине страницы, тов  Vadim Guchenko выкладывает очень интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я ещё не встречал видимо так я и буду делать. Если есть что то подобное, было бы здорово на это поглядеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от tiv on 24-Фев-09, 02:38 
>[оверквотинг удален]
>
>>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>>in
>>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>>out
>
>Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего.
>Как я понял из статей посвящённых netams и курению доков на
>их сайте именно на внутренний интерфейс надо сажать амску. Что я
>и сделал, сейчас всё работает, всё считается.

Главное чтобы не просто считалось, а еще и правильно
Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в вашем случае так как вы netams используете на внутреннем интерфейсе то нужно уметь отделить пользовательский внешний трафик от трафика который идет на сам шлюз(ftp, www)
>
>Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже.

есть порт ipfw под windows
>[оверквотинг удален]
>Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них
>признателен, т.к. разбираться на готовом примере для меня куда проще.
>
>Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние
>ресурсы в топиках, но на свой страх и риск...
>_http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1
>Вот что нашёл,там в середине страницы, тов  Vadim Guchenko выкладывает очень
>интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я
>ещё не встречал видимо так я и буду делать. Если есть
>что то подобное, было бы здорово на это поглядеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 24-Фев-09, 15:55 
>Главное чтобы не просто считалось, а еще и правильно
>Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в
>вашем случае так как вы netams используете на внутреннем интерфейсе то
>нужно уметь отделить пользовательский внешний трафик от трафика который идет на
>сам шлюз(ftp, www)

Насколько я понимаю, отделяется это всё правилами ipfw в определённой последовательности.
exp. Правила разрешающие доступ на мой веб сервер стоят выше диверта на нетамс. Если речь об этом, то я обязательно учту данный факт при построении скрипта с правилами.
А пока что я курю маны по динамическим правилам) В частности пока не понимаю почему вылет юдп протокола с keep-state не создаёт динамическое правило возврата. Похоже всё летит в правило allow tcp from any to any established, хоть и явно указан протокол tcp в нём.
Где то уже видел подобный вопрос, наверна найду и ответ)

>есть порт ipfw под windows

я узнал про ipfw только установив фрибсд) до этого задачи решались на "ура" при помощи однокнопочных приложений =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 25-Фев-09, 04:18 
И так. День чтения статей, форумов и манов не прошёл зря, ночь опытов над ipfw + netams + ipnat дала свои плоды.
Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с сабжом, во вне.
Что удалось понять методом научного тыка) А так же подводные камни в заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =)

Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает идти по правилам ipfw с верху в низ, проходит, тут его ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при чём пакет не продолжает движение по правилам ipfw с того места где был зажован в амс,а о5 прётся с самого начала... (что убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается на внешний интерфейс и о5 упирается в ipfw, начинает идти по правилам с верху в низ и если находит дырку вылазит наружу, тут его цепляет ipnat и быстренько перебивает заголовки у пакета.

Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по идее должны работать либо статические правила,что в моём случае не очень секьюрно или динамика, established в частности такое положение дел переваривает на ура,но TCP only это печально =(,а вот keep-state для udp это дело не нравится.
Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило вида allow udp from me to any 53 xmit ${внешний интерфейс}.
При таком положении дел,правило создаётся, но такое же приходится делать и для прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу.

Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже как пакет самой системы и не получается при моей схеме (амс на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в локальной сети до назначения во вне.

Есть у кого нибудь идеи и домыслы по этому поводу? Если я что-то не так понял методом проб и ошибок, прошу поправить.
Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново конфиг ipfw переписывать,а уже хочется баю бай =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от Laboremus (ok) on 12-Май-09, 21:33 
>[оверквотинг удален]
>
>Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже
>как пакет самой системы и не получается при моей схеме (амс
>на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в
>локальной сети до назначения во вне.
>
>Есть у кого нибудь идеи и домыслы по этому поводу? Если я
>что-то не так понял методом проб и ошибок, прошу поправить.
>Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново
>конфиг ipfw переписывать,а уже хочется баю бай =)

Не могли ли бы ты показать твою конфигурацию ipfw, так как у меня похожая ситуация но настроить ipfw почему-то не получается?
Получилось ли пересадить NeTAMS на внешний интерфейс?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"  +/
Сообщение от amfetamin (ok) on 12-Май-09, 21:46 
>[оверквотинг удален]
>>локальной сети до назначения во вне.
>>
>>Есть у кого нибудь идеи и домыслы по этому поводу? Если я
>>что-то не так понял методом проб и ошибок, прошу поправить.
>>Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново
>>конфиг ipfw переписывать,а уже хочется баю бай =)
>
>Не могли ли бы ты показать твою конфигурацию ipfw, так как у
>меня похожая ситуация но настроить ipfw почему-то не получается?
>Получилось ли пересадить NeTAMS на внешний интерфейс?

Нет, netams я решил оставить на внутреннем интерфейсе, в принципе ничего страшного от этого не произойдёт, кроме как сервер не сможет учитывать свой собственный трафик. Что для меня не важно.
ipfw как я и писал выше настраивал на подобии этого конфига _http://groups.google.com/group/fido7.ru.unix.bsd/msg/22edb3b5da53efb8?
Очень пригодилось и прочитать всю переписку целиком.
Чтобы было проще разобраться, перечитай то, что я выше писал и возьми карандашик с бумажкой, нарисуй 2 стенки (внешний иф и внутр.) и "поводи" между ними "трафик", сразу поймёшь как это всё будет работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру