Новые ответы

Не работает доступ в интернет ни почта,

kozyr76, 08-Июл-09, 00:14 [смотреть все]

Здравствуйте, уважаемые специалисты! Прочитал кучу литературы, брал за основу много конфигураций файерволлов, но к сожалению ни интернет, ни почта (25-110) так и не заработали. Система установлена FreeBsd 7.2. Приведу пример ipfw.conf. Очень нужна помощь. Реально работает только ssh.
FwCMD="/sbin/ipfw"
LanOut="rl0" внешний интерфейс
LanIn="re0" внутр. интерфейс
IpOut="xxx.xxx.xxx.xxx"
IpIn="yyy.yyy.yyy.yyy"
NetMask="24"

NetIn="10.17.13.0" # Внутренняя сеть
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow ip from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
rc.config:
firewall_enable ="YES"
firewall_script="/etc/ipfw.conf"
named_enable="YES"
inetd_enable="YES"
natd_enable="YES"
natd_interface="re0"
ifconfig re0= "xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig rl0= "yyy.yyy.yyy.yyy netmask 255.255.255.0"
defaultrouter="zzz.zzz.zzz.zzz
getaway_enable="YES"
остальное не буду...
сетевые карты рабочие. С сервера все пингуется и dns имена тоже, устанавливаются любые проги из портов. Прошу помочь.

Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, kozyr76, 00:16 , 08-Июл-09 (1)
PS локальные машины в инет так и немогут выйти
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, Deac, 05:03 , 08-Июл-09 (2)
Эти правила NATят подсеть 10.17.13.0
>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
А вот это рубит всё на корню
>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
Пораскинь мозгами.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, PavelR, 09:14 , 08-Июл-09 (3)
>Эти правила NATят подсеть 10.17.13.0
>>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
>
>А вот это рубит всё на корню
>>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
>
>Пораскинь мозгами.
Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать не умеешь.
В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, не знаю), и под правило "рубит всё на корню" подпадать не должен.

Автору топика: хотите чтобы вам помогли - показывайте "ipfw sh".
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, kozyr76, 09:56 , 08-Июл-09 (4)
ipfw sh это и есть конфиг файерволла. /etc/ipfw.conf/ В rc.conf так и указано...Может, что не так, поясните...
Ответить | Сообщить модератору
Не работает доступ в интернет ни почта, Deac, 18:05 , 08-Июл-09 (5)
>[оверквотинг удален]
>>Пораскинь мозгами.
>
>Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать
>не умеешь.
>
>В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из
>подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится
>на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей,
>не знаю), и под правило "рубит всё на корню" подпадать не
>должен.
Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо и исходную подсеть и адрес внешнего интерфейса.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, kozyr76, 22:17 , 08-Июл-09 (6)
Прошу покажите строки какие надо изменить
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, Deac, 00:17 , 09-Июл-09 (7)
>Прошу покажите строки какие надо изменить
1. Cтроку для удаления я уже указал.
2. Брать firewall из доков не лучший вариант.
3. Используй таблицы.
4. Ищи по форуму, этого добра полно.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, kozyr76, 08:53 , 09-Июл-09 (8)
удалил строку, но безрезультатно....
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, бусик, 09:10 , 09-Июл-09 (9)
>удалил строку, но безрезультатно....
LanOut="rl0" внешний интерфейс
LanIn="re0" внутр. интерфейс
тогда почему в rc.conf natd_interface="re0" ?
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, PavelR, 10:22 , 09-Июл-09 (10)
>
>Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо
>и исходную подсеть и адрес внешнего интерфейса.
Типичное мнение человека, не понимающего последовательность прохождения пакета по файрволу ipfw, точнее того аспекта, что пакет пройдет через файрволл дважды - на входе в рутер и на выходе из него.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, Deac, 12:34 , 09-Июл-09 (11)

>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
Дальше пакет возвращается в ipfw, если не указан one pass.
В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx", через который собственно и осуществляется доступ в интернет, примерно так:
allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via rl0
allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via rl0
Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, PavelR, 16:14 , 09-Июл-09 (12)

>divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе
>запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс
>rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
>Дальше пакет возвращается в ipfw, если не указан one pass.
+1 насчет one_pass.
>В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на
>rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx"
гы-гы. поясните теперь, как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?

> через который
>собственно и осуществляется доступ в интернет, примерно так:
>allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via
>rl0
>allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via
>rl0
>Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут
>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, _возвращает_ _измененный_ _пакет_.
>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
А еще в 7-ке есть ipfw natd.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, Deac, 19:54 , 09-Июл-09 (13)
>[оверквотинг удален]
>>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
>
>Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в
>ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю,
>_возвращает_ _измененный_ _пакет_.
>
>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>
>А еще в 7-ке есть ipfw natd.
Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to any , ниже правил для divert-а и в /var/log/security убедиться в тщетности инсинуаций.
Ответить | Сообщить модератору

Не работает доступ в интернет ни почта, PavelR, 22:18 , 09-Июл-09 (14)

>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.
Уважаемый, Вам таки не понятно, что это будет происходить _до_ divert, при первом прохождении пакета по файрволлу ?
Ответить | Сообщить модератору
Не работает доступ в интернет ни почта, PavelR, 22:22 , 09-Июл-09 (15)
>[оверквотинг удален]
>>_возвращает_ _измененный_ _пакет_.
>>
>>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>>
>>А еще в 7-ке есть ipfw natd.
>
>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.
и еще, ответьте на вопрос:
как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?

Ответить | Сообщить модератору