форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Доступ к НАТ"
Сообщение от mayd (ok) on 02-Фев-05, 01:38  (MSK)
Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall ${ipfw} add 100 divert natd all from any to any via [realIP] в итоге через него стали ходить все, кому не лень теперь исправил на ${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP] ${ipfw} add 102 divert natd all from any to [realIP] in via [realIP] Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что я неправильно сделал?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Доступ к НАТ"
Сообщение от Chosen (ok) on 02-Фев-05, 04:35  (MSK)
>Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall > >${ipfw} add 100 divert natd all from any to any via [realIP] > >в итоге через него стали ходить все, кому не лень >теперь исправил на >${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via >[realIP] >${ipfw} add 102 divert natd all from any to [realIP] in via >[realIP] > >Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что >я неправильно сделал? не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Доступ к НАТ"
	Сообщение от mayd (??) on 02-Фев-05, 09:19  (MSK)
	> >не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса) > Пишу в фаерволе $(ipfw) add 530 deny ip from 192.168.0.0/16 to any in via rl0 $(ipfw) add 540 deny ip from 172.18.12.0/12 to any in via rl0 $(ipfw) add 550 deny ip from 10.0.0.0/8 to any in via rl0 перегружаюсь, проверяю ipfw -d list все правила есть, этих нет - чертовщина какая-то
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Доступ к НАТ"
	Сообщение от Z_M (??) on 02-Фев-05, 11:28  (MSK)
	скобки фигурные поставь !
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Доступ к НАТ"
	Сообщение от mayd (??) on 02-Фев-05, 15:25  (MSK)
	>скобки фигурные поставь ! Спасибо за подсказку, правила заработали - сам не знаю, как круглые влепил. Но смотрю trafshow - ничего не изменилось, пытаюсь отрубить кого-то из халявщиков - ${ipfw} add 200 deny all from 217.69.192.135 to [realIP] перегружаюсь, опять он (217.69.192.135)сидит. Что делать??? Помогите пожайлуста!!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Доступ к НАТ"
	Сообщение от wanderer (??) on 02-Фев-05, 16:32  (MSK)
	а вот так не прикольней ? fwcmd="/sbin/ipfw -q" ip_ext="gate_real_ip" if_ext="rl0" localnet="192.168.1.0/24" internet="not 192.168.1.0/24,gate_real_ip" ${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext} ${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext}
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Доступ к НАТ"
	Сообщение от mayd (ok) on 02-Фев-05, 16:46  (MSK)
	>${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext} >${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext} Всё равно где-то пролазят. Может быть через squid - он установлен, но не настроен у меня?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Доступ к НАТ"
	Сообщение от wanderer (??) on 02-Фев-05, 17:07  (MSK)
	покажи что trafshow показывает
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Доступ к НАТ"
	Сообщение от mayd (ok) on 02-Фев-05, 17:50  (MSK)
	gw# trafstat -i rl0 (dc0) gw11 at Feb  2 16:00:01 - Feb  2 17:20:17 Summary: 6938403 data bytes, 9915827 all bytes, 26 records      From           Port         To            Port  Proto     Data  All     192.168.77.1       1900    239.255.255.250    1900    udp      69678 74718 ads.web.aol.com    http    217.69.213.163     client  tcp      898         ads.web.aol.com    http    [realIP]           client  tcp      38898       [realIP]           3128    61-217-110-65.dyna client  tcp          0       61-217-110-65.dyna client  [realIP]           3128    tcp          0       64.12.25.156       aol     [realIP]           client  tcp      5858       64.12.26.152       aol     [realIP]           client  tcp      5614       sr1.telmos.ru      domain  [realIP]           client  udp      5890       217.69.213.163     netbio  [realIP]           netbio  udp      5028       217.69.220.71      netbio  [realIP]           netbio  udp      3600       217.69.220.72      client  217.69.220.79      netbio  udp      4800 5500 217.69.220.72      client  217.69.220.79      netbio  udp      3450 5382 217.69.220.77      netbio  217.69.220.79      netbio  udp      2850 4446 [realIP]           client  ads.web.aol.com    http    tcp      3013 4357 [realIP]           linx    64.12.25.156       client  tcp      1183 4023 217.69.220.71      netbio  217.69.220.79      netbio  udp      3132 3636 [realIP]           client  sr1.telmos.ru      domain  udp      1799 3199 217.69.220.77      netbio  217.69.220.79      netbio  ud       2649 3013 [realIP]           client  64.12.26.152       aol     tcp       460 2940 212.48.36.117      netbio  212.48.36.127      netbio  udp       2580 2916 212.48.36.126      netbio  212.48.36.127      netbio  udp       2447 2783 217.69.220.67      netbio  217.69.220.79      netbio  udp       2436 2772 217.69.213.162     netbio  217.69.213.175     netbio  udp       2422 2758 212.48.36.114      netbio  212.48.36.127      netbio  udp       2275 2583 192.168.77.2       netbio  192.168.77.7       netbio  udp       2246 2554 sr1.telmos.ru..domain     217.69.213.163..1046       udp             как его отсечь??? ${ipfw} add 470 deny all from sr1.telmos.ru to any не помогает!!!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Доступ к НАТ"
	Сообщение от mayd (ok) on 02-Фев-05, 18:33  (MSK)
	>sr1.telmos.ru..domain     217.69.213.163..1046    udp >как его отсечь??? >${ipfw} add 470 deny all from sr1.telmos.ru to any >не помогает!!!! кстати, ipfw -d list показал, что оно не заработало, видимо по IP нужно - ${ipfw} add 470 deny all from [sr1_IP] to any ???
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Доступ к НАТ"
	Сообщение от wanderer (??) on 03-Фев-05, 13:02  (MSK)
	>[realIP]           3128    61-217-110-65.dyna client  tcp          0       >61-217-110-65.dyna client  [realIP]           3128    tcp          0     а вот это что за фигня помойму кто то из инета сидит на вашем прокси сервере т.е через ваш прокси, из инета лазит по инету может вам это нормально, но обычно прокси разрешают только для внутренней сети
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Доступ к НАТ"
	Сообщение от adc (ok) on 02-Фев-05, 19:06  (MSK)
	а зачем так сложно? ;) Ведь твои два правила делают в итоге тоже самое? ${fwcmd} add divert natd ip from any to any via ${oif}
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Доступ к НАТ"
	Сообщение от mayd (ok) on 02-Фев-05, 19:29  (MSK)
	>а зачем так сложно? ;) Ведь твои два правила делают в итоге >тоже самое? > >${fwcmd} add divert natd ip from any to any via ${oif} Я не понял, это прикол, или вы так издеваетесь??? Вы мне советуете написать ${fwcmd} add divert natd ip from any to any via ${oif} ??? так это то-же, что у меня и было - то есть открытый доступ для ВСЕХ!!! ${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP] ${ipfw} add 102 divert natd all from any to [realIP] in via [realIP] первое правило заворачивает в инет пакеты из моей сетки, а второе - все из инета В мою сетку - или я неправ??
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Доступ к НАТ"
	Сообщение от adc (ok) on 02-Фев-05, 22:11  (MSK)
	>Я не понял, это прикол, или вы так издеваетесь??? >Вы мне советуете написать >${fwcmd} add divert natd ip from any to any via ${oif} ??? Давайте думать логически. Выше вам посоветовали два правила: ${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext} ${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext} И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается вторым. Ну и в чём разница? >так это то-же, что у меня и было - то есть открытый >доступ для ВСЕХ!!! Я бы где-нибудь в начале правил ещё прописал:     # Stop spoofing ${fwcmd} add deny log ip from ${inet} to any in via ${oif} ${fwcmd} add deny log ip from ${onet} to any in via ${iif} P.S. Я тоже не гуру, а только учусь, могу ошибаться в чём-то и буду рад, если меня поправят.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Доступ к НАТ"
	Сообщение от mayd (??) on 03-Фев-05, 10:53  (MSK)
	>Давайте думать логически. Выше вам посоветовали два правила: >${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext} > >${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext} > > >И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается >вторым. Ну и в чём разница? > Мне кажется, что всё дело в IN и OUT , которые перед VIA - первая строчка работает только наружу, а вторая только во внутрь. Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Доступ к НАТ"
	Сообщение от adc (??) on 10-Фев-05, 00:03  (MSK)
	>Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать? Удаляют пакеты с внутренними адресами, которые пришли из внешнего интерфейса и наоборот. Кстати, почитал я тут man natd (чего и вам желаю ;-). Наверное, решение вашей проблемы в том, чтобы прописать в rc.conf natd_flags="-deny_incoming -log_denied -use_sockets -same_ports -unregistered_only" Особое внимание на первый и последний ключи. Что они значат можно посмотреть в man natd.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Доступ к НАТ"
	Сообщение от wanderer (??) on 03-Фев-05, 11:34  (MSK)
	>Давайте думать логически. Выше вам посоветовали два правила: >${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext} > >${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext} > > >И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается >вторым. Ну и в чём разница? > поясняю первое правило говорит натить все пакеты на внешнем интерфейсе шлюза при условии что отправитель внутренняя сеть а получатель интернет второе говорит натить все пакеты на внешнем интерфейсе шлюза при условии что отправитель интернет а получатель внешний ип адрес шлюза при этом по второму правилу, нат будет делать обратное преобразование адресов (в серые, с тем чтобы пустить их в локалку) по своей таблице, а таблица эта генерится исходящими через нат пакетами ... и соответственно воспользоваться натом из интернета для доступа в интернет не считаю возможным
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Доступ к НАТ"
	Сообщение от wanderer (??) on 03-Фев-05, 11:36  (MSK)
	т.е. НЕ ВОЗМОЖНЫМ сори это была описка :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Доступ к НАТ"
	Сообщение от mayd (??) on 03-Фев-05, 12:29  (MSK)
	Тоесть правила ${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via >[realIP] >${ipfw} add 102 divert natd all from any to [realIP] in via >[realIP верные, тогда где ошибка? Где смотреть?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Доступ к НАТ"
	Сообщение от mayd (??) on 03-Фев-05, 14:51  (MSK)
	Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Доступ к НАТ"
	Сообщение от butcher (ok) on 03-Фев-05, 15:00  (MSK)
	>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать Телепаты все в отпуске. Squid у вас стоит на этом сервере или нет?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Доступ к НАТ"
	Сообщение от mayd (??) on 04-Фев-05, 16:04  (MSK)
	>>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать > >Телепаты все в отпуске. >Squid у вас стоит на этом сервере или нет? Нет, не стоит, только НАТ
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Доступ к НАТ"
	Сообщение от мимо проходил on 04-Фев-05, 00:05  (MSK)
	>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать тут нет, они в ru.unix.bsd обитают
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "Доступ к НАТ"
	Сообщение от Аномин on 16-Фев-05, 14:48  (MSK)
	нормально надо задавать вопросы: а настройка ната - это даже и не вопрос, пять минут и всё в ажуре. лень отвечать, напрягать мозги.... ты б сказал - ПИВО ЕСТЬ = ИНЕТа НЕТ!!! :) народ бы помог - хотя только за идею! а насчёт админов - так ТЫ сам такой. тебе всё рассказали, расжевали и в рот положили - просто выкинь лишнее из постов и будет щасте.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.