https://opennet.ru/openforum/vsluhforumID1/82219.html Помогите чайнику:<br>фря7<br>собрал ядро соследующими доп. функциями:<br>optionsIPFIREWALL<br>optionsIPFIREWALL_VERBOSE<br>optionsIPFIREWALL_VERBOSE_LIMIT=10<br>optionsIPFIREWALL_FORWARD<br>optionsIPFIREWALL_NAT #ipfw kernel nat support <br>optionsLIBALIAS<br><br>надеялся таким образом вмонтировать фаервол и нат в ядро<br><br>1) как разрешить порт 22 интерфейса rl1 c ip 192.168.1.1<br> для ip 192.168.1.2 и MAC hh:hh:hh:hh:hh:hh, т.е. сделать привязку по МАК-адрессу для управления по ssh?<br>2)где и вкаком порядке надо прописовать правила чтобы получить схему:<br><br>внутр. сеть-&gt;rl1-&gt;NAT-&gt;rl2-&gt;FireWall-&gt;внешняя сеть.<br>4) каков синтексис правил (я в юникс системах полный 0, по етому даже на первый взгляяд очевидные вещи непонимаю, статей полно, но они уже не длячайников :(, у меня же нет даже базовых знаний никс систем )<br><br><br>ЗЫ: читаю хэндбук,но пока грустно :(--половину не понимаю.<br> https://opennet.ru/openforum/vsluhforumID1/82219.html#15 Thu, 02 Oct 2008 10:55:14 GMT может не совсем в тему, ну раз реч в основном о ipfw такой вопрос:<br>когда я задаю правило:<br>add deny all from any to any via rl1<br><br>в ответ на комманду ipfw show<br>получаю что-то в виде:<br>deny tcp from any to any via rl1<br><br><br>а почему tcp когда я задовал all, куда делся udp RTP, SCTP, SPX, ATP, DCCP, BGP, GRE и т.д.<br> https://opennet.ru/openforum/vsluhforumID1/82219.html#14 Thu, 02 Oct 2008 08:53:26 GMT &gt;&gt;1)где прописоватьправиля для NAT, встроенного в ядро (фри 7) <br>&gt;<br>&gt;А пример я для кого писал????... в rc.conf указываешь путь к файлу, <br>&gt;правила пишешь в этом файле... <br><br>про пример я понял, но ipnat -- это разве не IPFilter? я спрашивал про нат вкомпиливаемые в ядро опцией <br>&gt;options IPFIREWALL_NAT #ipfw kernel nat support <br>&gt;options LIBALIAS <br><br>разве ето тоже самое?<br>ipnat_enable="YES"<br>ipnat_rules="/etc/ipnatem.rules"<br><br>&gt;&gt;2)как в правилах для фаервола указать привязку по МАК? <br>&gt;<br>&gt;Фаервол тут нипричем. Читай про статические arp таблицы. <br><br>а если я хочу сделать правило для фаервола типа<br>добавить разрешить все от 192.168.5.7 432 к 192.168.5.1 22 входящий через рл1 если МАК 192.168.5.7 == 00:01:А7:В1:46:51 иначе запретить.<br><br>Тогда как? Ок про статические arp таблицы читаю.<br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#13 Thu, 02 Oct 2008 06:25:58 GMT &gt;1)где прописоватьправиля для NAT, встроенного в ядро (фри 7) <br><br>А пример я для кого писал????... в rc.conf указываешь путь к файлу, правила пишешь в этом файле...<br>&gt;2)как в правилах для фаервола указать привязку по МАК? <br><br>Фаервол тут нипричем. Читай про статические arp таблицы.<br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#12 Wed, 01 Oct 2008 19:41:01 GMT <br>&gt;options IPFIREWALL_FORWARD <br>&gt;options IPFIREWALL_NAT #ipfw kernel nat support <br>&gt;options LIBALIAS <br>&gt;<br>&gt;надеялся таким образом вмонтировать фаервол и нат в ядро <br>&gt;<br>&gt;1) как разрешить порт 22 интерфейса rl1 c ip 192.168.1.1 <br>&gt; для ip 192.168.1.2 и MAC hh:hh:hh:hh:hh:hh, т.е. сделать привязку по МАК-адрессу <br>&gt;для управления по ssh? <br>&gt;2)где и вкаком порядке надо прописовать правила чтобы получить схему: <br><br>Пока разобралсяс правилами для фаервола,<br><br>1)где прописоватьправиля для NAT, встроенного в ядро (фри 7)<br>2)как в правилах для фаервола указать привязку по МАК?<br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#11 Wed, 01 Oct 2008 13:39:55 GMT &gt;ок, кажись разобрался, правильно лия понял: <br>&gt;если у меня в сети 6 компов, с ипами: 192.168.1.1:192.168.1.6, то правила <br>&gt;для <br>&gt;192.168.1.0/29 будут эквивалентны правилам: 192.168.1.1:192.168.1.6? <br><br>Почти правильно, :)<br>точнее будут эквивалентны правилам: 192.168.1.0:192.168.1.7<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#10 Wed, 01 Oct 2008 13:24:30 GMT &gt;[оверквотинг удален]<br>&gt;add deny all from any to any via nfe0 <br>&gt;<br>&gt;Пример настройки ipnat.conf: <br>&gt;#Собственно сама трансляция nat <br>&gt;map em0 ххх.ххх.ххх.0/24 -&gt; ууу.ууу.ууу.ууу/32 proxy port ftp ftp/tcp<br>&gt;map em0 ххх.ххх.ххх.0/24 -&gt; ууу.ууу.ууу.ууу/32 portmap tcp/udp 20000:25000<br>&gt;#пример редиректа на внутреннюю машину порта RDP 3389 <br>&gt;rdr em0 from any to yyy.yyy.yyy.yyy/32 port = 3389 -&gt; 192.168.0.54 port 3389<br>&gt;<br>&gt;ОСТАЛЬНОЕ ЧИТАЕМ!!! <br><br>ДА, ети статьи я уже читал и более мение разобрался,остались вопросы по привязки МАКа<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#9 Wed, 01 Oct 2008 13:22:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;означают "/30" и "/29" порты? <br>&gt;&gt;<br>&gt;&gt;и в статье не сказано про привязку по МАК :( <br>&gt;<br>&gt;Э, батенька! <br>&gt;Да вам надо еще и IP подучить. <br>&gt;/ХХ - это маска подсети. <br>&gt;/255.255.255.0 - тоже маска <br>&gt;<br>&gt;Юзайте поиск ... <br><br>ок, кажись разобрался, правильно лия понял:<br>если у меня в сети 6 компов, с ипами: 192.168.1.1:192.168.1.6, то правила для<br>192.168.1.0/29 будут эквивалентны правилам: 192.168.1.1:192.168.1.6?<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82219.html#8 Wed, 01 Oct 2008 13:15:14 GMT Сначалал подыми элементарную связку ipnat + ipfw, а потом уже будешь разбираться со статической arp таблицей.<br>http://www.opennet.ru/base/net/ipnat_freebsd.txt.html - статья по ipnat<br>http://ipfw.ism.kiev.ua/index.html - статья по ipfw<br><br>Пример связки<br>nfe0 с адресом ххх.ххх.ххх.ххх - внутренняя сеть<br>em0 с адресом ууу.ууу.ууу.ууу- внешняя сеть<br>Добавить в rc.conf:<br>#<br>firewall_enable="YES"<br>firewall_type="/etc/firewallem.conf"<br>ipnat_enable="YES"<br>ipnat_rules="/etc/ipnatem.rules"<br>#<br>Пример настройкаи ipfw:<br>firewallem.conf:<br>#открываем переч. порты всем на внутреннем интерфейсе<br>add allow all from any to any 80, 21, 3389, 53, 22 via nfe0 <br>#открыто все на внешнем интерфейсе<br>add allow all from any to any via em0 <br>#закрываем все остальное на внутреннем ин-се<br>add deny all from any to any via nfe0<br><br>Пример настройки ipnat.conf:<br>#Собственно сама трансляция nat<br>map em0 ххх.ххх.ххх.0/24 -&gt; ууу.ууу.ууу.ууу/32 proxy port ftp ftp/tcp<br>map em0 ххх.ххх.ххх.0/24 -&gt; ууу.ууу.ууу.ууу/32 portmap tcp/udp 20000:25000<br> https://opennet.ru/openforum/vsluhforumID1/82219.html#7 Wed, 01 Oct 2008 13:12:08 GMT &gt;<br>&gt;&gt;Э, батенька! <br>&gt;&gt;Да вам надо еще и IP подучить. <br>&gt;&gt;/ХХ - это маска подсети. <br>&gt;&gt;/255.255.255.0 - тоже маска <br>&gt;&gt;<br>&gt;&gt;Юзайте поиск ... <br>&gt;<br>&gt;Да, про CIDR я действительно ничего не знал :(, СПАСИБО!!! <br>&gt;так,как на счёт МАКа <br><br>Вам нужно почитать о Ethernet, TCP/IP, маршрутизации и еще много о чем....<br>Но не пугайтесь! Все прошли через это! ;-)))<br>Пользуйтесь поиском, думайте, и только после этого задавайте вопросы.<br>вопросы старайтесь формулировать так что бы они были понятны другим.<br><br>И вот вам для ссылочка на доку по фре на русском: http://www.freebsd.org.ua/<br>