The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"С правилами непонятка"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"С правилами непонятка" 
Сообщение от nickdi emailИскать по авторуВ закладки on 06-Июл-05, 11:24  (MSK)
Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое правило надо написать что б дать доступ из локальной сети пинговать тазик провайдера? вот как сейчас настроено
ipfw='/sbin/ipfw -q'
    ournet='192.168.0.0/16'
    uprefix='192.168.0'
    oprefix='xxx.xxx.xxx.xxx'
    ifout='ppp0'
    ifuser='rl0'
    ${ipfw} flush
    ${ipfw} add 50  deny ip log from any to any
    ${ipfw} add 100 check-state
    ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
    ${ipfw} add 300 allow ip from any to any via lo0
    ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
    ${ipfw} add 320 allow icmp from any to any
    ${ipfw} add 330 allow udp from me to any domain keep-state
    ${ipfw} add 340 allow udp from any to me domain
    ${ipfw} add 350 allow ip from me to any
    ${ipfw} add 400 allow tcp from any to me http,https,ssh
    ${ipfw} add 410 allow tcp from any ${ournet} to me smtp
    ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${
ifout}
    ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
   #${ipfw} add 520 divert natd ip from ${ournet} to any out via ${ifuser}
    
    ${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
    ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
    ${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}
    ${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}
    ${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}
    ${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}
    ${ipfw} add 1005 allow ip from ${uprefix}.5 to any via ${ifuser}
    ${ipfw} add 1005 allow ip from any to ${uprefix}.5 via ${ifuser}
natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, инет есть, а пинга всё равно нет!
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "С правилами непонятка" 
Сообщение от alcat Искать по авторуВ закладки(??) on 06-Июл-05, 11:46  (MSK)
нехватает у тебя как минимум одного правила после диверта!!!

tcpdump тебе поможет!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "С правилами непонятка" 
Сообщение от nickdi emailИскать по авторуВ закладки on 06-Июл-05, 12:08  (MSK)
>нехватает у тебя как минимум одного правила после диверта!!!
>
>tcpdump тебе поможет!!!


Дело в том что я первый так сказать раз настраиваю фаэрвол, и просто не представляю какого правила там ещё не хватает, и каким образом мне поможет tcpdump тоже не пойму. Может это смешно но правда!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "С правилами непонятка" 
Сообщение от alcat Искать по авторуВ закладки(??) on 06-Июл-05, 21:09  (MSK)
>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>просто не представляю какого правила там ещё не хватает, и каким
>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>правда!
ну тогда читай:
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=35
там про нат и про фарвол и про ядро!!!!
а потом уже добавляй/меняй по чуть-чуть правила и смотри что происходит!!!
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "С правилами непонятка" 
Сообщение от alcat Искать по авторуВ закладки(??) on 06-Июл-05, 21:14  (MSK)
да и кстати если будешь переходить на старшую версию для того чтоб работал форвард в ядро нада добавлять
options         IPFIREWALL_FORWARD


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "С правилами непонятка" 
Сообщение от nickdi Искать по авторуВ закладки on 07-Июл-05, 17:07  (MSK)
>да и кстати если будешь переходить на старшую версию для того чтоб
>работал форвард в ядро нада добавлять
>options         IPFIREWALL_FORWARD

Статью читал там правила не описаны и нат я пока запускаю вручную так как
ппп активируется позже чем нат - и естественно ругается а ты знаешь какого правила не хватает после диверта потому что я так эксперементирую уже неделю  и ещё чуть-чуть и будут проводить эксперементы с моей жопой! подскажи если знаешь!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "С правилами непонятка" 
Сообщение от alcat Искать по авторуВ закладки(??) on 08-Июл-05, 11:20  (MSK)
>Статью читал там правила не описаны и нат я пока запускаю вручную
>так как
>ппп активируется позже чем нат - и естественно ругается а ты знаешь
>какого правила не хватает после диверта потому что я так эксперементирую
>уже неделю  и ещё чуть-чуть и будут проводить эксперементы с
>моей жопой! подскажи если знаешь!
сделай пока так
диверть все через что идет через ппп
${ipfw} add divert natd ip from any to any via ${ifwan}
попробуй добавить после диверта правило
${ipfw} allow all from any to any
если заработает то скорее всего тебе нада добавить правило после диверта, которое разрешит доступ к айпи твоего ппп или просто к me
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "С правилами непонятка" 
Сообщение от newchainik Искать по авторуВ закладки(ok) on 13-Июл-05, 13:21  (MSK)
>    ${ipfw} flush
>    ${ipfw} add 50  deny ip log from any to any

Чето я не понял, зачем правило 50 ?
Его надо поставить в в самый конец, т.е. номер ему сделай 65000
перезапускаешь фаер, пробуешь пинг, и смотрим в /var/log/security
пинг должен там осесть в DENY, если он там с deny - пиши соответсвуюуще правило на pass
а вообще ...log logamount <x>... - рулез ! И tcpdump не нужен.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру