forum.opennet.ru

Составление сообщения

Исходное сообщение

"Прошу помощи с FreeBSD"
Отправлено daloman, 14-Мрт-10 23:03

>[оверквотинг удален]
>natd работает. До этого момента у меня был настроен инет для локалки,
>но решил причесать все правила, чтобы всё лишнее запрещалось, а в
>предыдущем случае в конце правило было allow from any to any.
>
>
>ipfw show
>00050   834   27304 allow ip from me to
>10.0.0.1 via nfe0 out
>00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in
>
Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся.
>[оверквотинг удален]
>via wlan0
>00355     0
>0 allow udp from any to me dst-port 53,123,31194 in via
>wlan0
>00360     0
>0 deny tcp from any to me not dst-port 53,80,22222 in
>via tun0
>00370     0
>0 deny udp from any to me not dst-port 123 in
>via tun0
Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw
>
>Дал доступ ко мне только к разрешённым ресурсам.
>00400     0
>0 deny ip from table(3) to me in via ng0
>
А точнее - запретили прохождение пакетов.
>В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли.
>
>00500    10     810 allow ip
>from me to any keep-state
>
>Мне можно всё.
Разрешаете прохождение пакетов с адресов локальных интерфейсов самого шлюза.
>00600     0
>0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080
>via ng0 out
Выполняется "форвардинг" пакетов адресованных любым адресам, кроме адресов локальных интерфесов шлюза.
>
>Нужных клиентов заворачиваем на прозрачный прокси.
>00650     0
>0 divert 8668 ip from table(2) to not me via ng0
>out
Выполняется трансляция адресов.
>
>Неудачная попытка раздачи интернета
>50000   139   13004 deny log logamount 100 ip
>from any to any
>
>Остальное запрещаем и для отладки пишем в лог.
>
>Так вот в логе при попытке вылезти из локалки в инет такие
>сообщения:
>ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0
Соответственно, пакеты от хоста 172.16.254.10 не соответствуют ни одному правилу применяющемуся до 50000 и согласно ему - блокируются.
>
>Помогите пожалста разобраться
Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь с правилами фаервола. Так сказать, на свежую голову :) Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, firewall type SIMPLE.

Исходное сообщение
"Прошу помощи с FreeBSD" Отправлено daloman, 14-Мрт-10 23:03
>[оверквотинг удален] >natd работает. До этого момента у меня был настроен инет для локалки, >но решил причесать все правила, чтобы всё лишнее запрещалось, а в >предыдущем случае в конце правило было allow from any to any. > > >ipfw show >00050 834 27304 allow ip from me to >10.0.0.1 via nfe0 out >00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in > Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся. >[оверквотинг удален] >via wlan0 >00355 0 >0 allow udp from any to me dst-port 53,123,31194 in via >wlan0 >00360 0 >0 deny tcp from any to me not dst-port 53,80,22222 in >via tun0 >00370 0 >0 deny udp from any to me not dst-port 123 in >via tun0 Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw > >Дал доступ ко мне только к разрешённым ресурсам. >00400 0 >0 deny ip from table(3) to me in via ng0 > А точнее - запретили прохождение пакетов. >В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли. > >00500 10 810 allow ip >from me to any keep-state > >Мне можно всё. Разрешаете прохождение пакетов с адресов локальных интерфейсов самого шлюза. >00600 0 >0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080 >via ng0 out Выполняется "форвардинг" пакетов адресованных любым адресам, кроме адресов локальных интерфесов шлюза. > >Нужных клиентов заворачиваем на прозрачный прокси. >00650 0 >0 divert 8668 ip from table(2) to not me via ng0 >out Выполняется трансляция адресов. > >Неудачная попытка раздачи интернета >50000 139 13004 deny log logamount 100 ip >from any to any > >Остальное запрещаем и для отладки пишем в лог. > >Так вот в логе при попытке вылезти из локалки в инет такие >сообщения: >ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0 Соответственно, пакеты от хоста 172.16.254.10 не соответствуют ни одному правилу применяющемуся до 50000 и согласно ему - блокируются. > >Помогите пожалста разобраться Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь с правилами фаервола. Так сказать, на свежую голову :) Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, firewall type SIMPLE.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру