https://opennet.dev/openforum/vsluhforumID1/82622.html Народ, я просто что-то бонально ТУПЛЮ, не разобрался с синтаксисом, прочёл дофига доков -- но что-то недоходит. Разжуйте плиз:<br>I)Если я применяю НАТ, т.е. создаю шлюз, каков должен быть порядок и синтаксис правил:<br>1)правильно ли я понимаю чтовсе запреты должны идти до нат,а все разрешения после<br>2)каков должен быть синтаксис разрешений: сохраняются ли ИПы и сети, которые были до ната,или нат их подменяет, и правила разрешения надо писать до ната со ссылками на него?<br><br>II) Привязка МАКа для ССХ не работает, что я не правильно написал?<br><br>вот мой список правил:<br><br>#=====Firewall Configuration<br>#var<br>inthost="192.168.1.1"<br>macint="00:8E:48:38:AA:3D"<br>intnet="192.168.1.0/29"<br>outhost="10.15.4.8"<br>admcomp="192.168.1.5"<br>macadm="00:B0:18:99:7A:11"<br>outinterface="rl0"<br>intinterface="rl1"<br><br>#Rules Begin<br><br>#antihack<br>#No Fragmentation<br>add 10 deny ip from any to any frag<br>#Deny ISMP hack<br>add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br>#Deny interip mask hack<br>add 12 reject ip from ${intnet} to a https://opennet.dev/openforum/vsluhforumID1/82622.html#32 Mon, 03 Nov 2008 20:06:03 GMT &gt;&gt;А у тебя фаерволл уровня ядра или как модуль? <br>&gt;&gt;нат нужно включать в ядре. <br><br>Яне очень разобрался, опции ставил в ядре, но ipfw_nat.ko в папке /boot/kernel/ не лежит :(( <br><br> https://opennet.dev/openforum/vsluhforumID1/82622.html#31 Sat, 01 Nov 2008 08:42:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;for some examples about <br>&gt;&gt; nat usage. <br>&gt;<br>&gt;ИМЕЕТ, только не к НАТД а к IPFW NAT :), как я <br>&gt;понял и оно должно быть==0, чтоб работали последующие правила <br>&gt;<br>&gt;а как задать net.inet.ip.fw.one_pass==0 в ядре?? <br>&gt;<br>&gt;ОГРОМНОЕ СПАСИБО!!! ТАКИМИ тепами я из полного лаймера превращусь в неполного юзера <br>&gt;уже через неделю:) <br><br>через sysctl<br> https://opennet.dev/openforum/vsluhforumID1/82622.html#30 Fri, 31 Oct 2008 23:38:17 GMT &gt;А у тебя фаерволл уровня ядра или как модуль? <br>&gt;нат нужно включать в ядре. <br>&gt;проверь чтобы в ядре были эти опции <br>&gt;options IPFIREWALL <br>&gt;options IPFIREWALL_VERBOSE <br>&gt;options IPFIREWALL_VERBOSE_LIMIT=100 <br>&gt;options IPFIREWALL_DEFAULT_TO_ACCEPT <br>&gt;options IPFIREWALL_FORWARD <br>&gt;options IPFIREWALL_NAT <br>&gt;options IPDIVERT <br><br>На уровне ядра, но я когда компилил, не очень разбирался вопциях, по этому переборщил:<br>что из этого нужно?, а чего нет? как сюда вписать переменную net.inet.ip.fw.one_pass==0?<br><br>А опция <br>&gt;options IPDIVERT и<br>&gt;options IPFIREWALL_FORWARD <br><br>разве нужны для ипфв ната? они вроде для НАТД<br><br>options MROUTING<br><br># ================ Enable pf & altq ==============<br>device pf<br>device pflog<br>device pfsync<br><br>options ALTQ<br>options ALTQ_CBQ<br>options ALTQ_RED<br>options ALTQ_RIO<br>options ALTQ_HFSC<br>options ALTQ_CDNR<br>options ALTQ_PRIQ<br><br># https://opennet.dev/openforum/vsluhforumID1/82622.html#29 Fri, 31 Oct 2008 16:01:52 GMT <br>&gt;# ipfw 1 nat config ip 10.15.2.159 <br>&gt;ipfw: setsockopt(IP_FW_NAT_CFG): Invalid argument <br>&gt;<br>&gt;НЕРАБОТАЕТ:(((((((((( <br><br>А у тебя фаерволл уровня ядра или как модуль?<br>нат нужно включать в ядре.<br>проверь чтобы в ядре были эти опции<br>options IPFIREWALL<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=100<br>options IPFIREWALL_DEFAULT_TO_ACCEPT<br>options IPFIREWALL_FORWARD<br>options IPFIREWALL_NAT<br>options IPDIVERT<br><br><br> https://opennet.dev/openforum/vsluhforumID1/82622.html#28 Fri, 31 Oct 2008 14:49:38 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Очень даже имеет <br>&gt;man ipfw FreeBSD 7.0 <br>&gt;To let the packet continue after being (de)aliased, set the sysctl vari- <br>&gt;<br>&gt; able net.inet.ip.fw.one_pass to 0. For more <br>&gt;information about aliasing <br>&gt; modes, refer to libalias(3) See Section EXAMPLES <br>&gt;for some examples about <br>&gt; nat usage. <br><br>ИМЕЕТ, только не к НАТД а к IPFW NAT :), как я понял и оно должно быть==0, чтоб работали последующие правила<br><br>а как задать net.inet.ip.fw.one_pass==0 в ядре??<br><br>ОГРОМНОЕ СПАСИБО!!! ТАКИМИ тепами я из полного лаймера превращусь в неполного юзера уже через неделю:) <br><br> https://opennet.dev/openforum/vsluhforumID1/82622.html#27 Fri, 31 Oct 2008 14:44:21 GMT &gt;надо было в начале файла добавить строчку типа <br>&gt;ipfw nat 1 config ip 10.15.4.8 <br>&gt;а првило с натом тогда должно выглядеть <br>&gt;add 2000 nat 1 ip from any to any via ${outinterface} <br><br># ipfw 1 nat config ip 10.15.2.159<br>ipfw: setsockopt(IP_FW_NAT_CFG): Invalid argument<br><br>НЕРАБОТАЕТ:((((((((((<br>&gt;[оверквотинг удален]<br>&gt;прочитать как работает тсп. <br>&gt;&gt;&gt;add 2200 allow udp from ${intnet} to not ${intnet} 20,21,53 keep-state <br>&gt;&gt;&gt;add 2300 allow icmp from ${intnet} to not ${intnet} icmptype 8 keep-state <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;add 64900 allow tcp from any to any established <br>&gt;&gt;<br>&gt;&gt;и что ето застранная надпись established? :)<br>&gt;<br>&gt;смотри выше.В man ipfw хорошее описание этой опции. <br><br>СПАСИБО!!!!!!! с этим РАЗОБРАЛСЯ<br><br><br> https://opennet.dev/openforum/vsluhforumID1/82622.html#26 Fri, 31 Oct 2008 12:34:14 GMT &gt;у меня НЕ НАСТРАИВАЕТСЯ НАТ :(((((((: <br>&gt;<br>&gt;Ошибки: <br>&gt;Oct 31 08:15:37 alex123 kernel: ipfw2 (+ipv6) initialized, divert loadable, rule- <br>&gt;based forwarding disabled, default to deny, logging disabled <br>&gt;Oct 31 08:15:37 alex123 kernel: ipfw: ipfw_ctl invalid option 56 <br>&gt;Oct 31 08:15:37 alex123 savecore: no dumps found <br>&gt;<br>&gt;Чего я такого намудрил?? <br>&gt;<br><br>надо было в начале файла добавить строчку типа<br>ipfw nat 1 config ip 10.15.4.8<br>а првило с натом тогда должно выглядеть <br>add 2000 nat 1 ip from any to any via ${outinterface} <br>&gt;<br>&gt;&gt;add 2100 allow tcp from ${intnet} to not ${intnet} 20,21,80,8080,443 setup<br>&gt;<br>&gt;наверно глупый вопрос, но что означает опция setup <br>&gt;<br><br>ето тсп пакеты с установлеными флагами SYN, ACK т.е. это пакеты которые начинают тсп сесию<br>иными словами 2100 правило разрешает установление соединения по тсп, а 64900 разрешает уже установленое соединение. Что бы лучше понять как это работает надо прочитать как работает тсп. <br>&gt;&gt;add 2200 allow udp from ${intnet} to not ${intnet} 20,21,53 https://opennet.dev/openforum/vsluhforumID1/82622.html#25 Fri, 31 Oct 2008 11:40:17 GMT &gt;если ето скрипт указаный в rc.conf опцией firewwall_type="этот скрипт" <br>&gt;то в начале скрипта нужно очищать првила <br>&gt;flush <br>&gt;и добавить <br>&gt;allow ip from any to any via lo0 <br><br>да это действительно скрипт firewwall_type="этот скрипт", так что мне приходится вручную переправлять имена переменных на их значение (найти/заменить --рулит :))<br><br><br><br>&gt;<br>&gt;фильтрацию по мак в твоем случае не нужна во первых у тебя <br>&gt;в локалке всего 16 компов <br>&gt;и тебе их не так сложно отфильтровать по макам еще на арп <br>&gt;уровне или просто сделай так <br>&gt;arp -s 192.168.1.2 00:E0:18:99:E5:11 и запиши эту строчку в файл rc.local <br>&gt;а включив фильтрацию по мак в фаерволе ты заставиш пакеты попадать в <br>&gt;фаервол четыре раза вместо двух. <br>&gt;<br><br>ок, так и сделаю,СПАСИБО! (только откуда получается четыре раза вместо двух я так и не разобрался, и почему не работает мой вариант--тоже)<br>&gt;&gt;#dynamic on <br>&gt;&gt;add 40 check-state <br>&gt;Скажем так все правила после 50 надо убрать они не работоспособны <br>&gt;чего стоит 70 правило :) подумай над ним. <br>&gt;&gt;#NAT https://opennet.dev/openforum/vsluhforumID1/82622.html#24 Fri, 31 Oct 2008 10:26:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;если net.inet.ip.fw.one_pass установлен в 1 то заворот на нат должен быть последним <br>&gt;&gt;правилом т.е. все правила разрешения и запрета должны имет номера менше <br>&gt;&gt;чем правило ната. Так как в етом случае пакет прекращает движение <br>&gt;&gt;по фаерволу. <br>&gt;<br>&gt;&gt;net.inet.ip.fw.one_pass: 1 пакет, выходящий из потока dummynet, не проходит через брандмауэр повторно, <br>&gt;&gt;В противном случае, после обработки канала пакет повторно вводится в брандмауэр <br>&gt;&gt;по следующему правилу. <br>&gt;К натд это не имеет отношения<br><br>Очень даже имеет <br>man ipfw FreeBSD 7.0 <br>To let the packet continue after being (de)aliased, set the sysctl vari-<br> able net.inet.ip.fw.one_pass to 0. For more information about aliasing<br> modes, refer to libalias(3) See Section EXAMPLES for some examples about<br> nat usage.<br>