https://www.opennet.ru/openforum/vsluhforumID1/95957.html Здравтсвуйте!<br>Пожалуйста, подскажите где проблема?<br>Надо добавить что-нидь для безопасности?<br><br>#!/bin/sh<br>cmd="/sbin/ipfw -q"<br><br>## External interface igb0 (white ip 1.2.3.2)<br>## Internal interface igb1 (10.92.128.1)<br>## table 1 - allowed ip from 10.92.128.0/24<br>## table 0 - blocked ip<br><br>${cmd} -f flush<br>${cmd} -f pipe flush<br>${cmd} -f queue flush<br><br>${cmd} add allow ip from any to any via lo0<br>${cmd} add deny all from any to 127.0.0.0/8<br>${cmd} add deny all from 127.0.0.0/8 to any<br><br>${cmd} add allow ip from 10.92.128.0/24 to 10.92.128.0/24<br><br>${cmd} add allow tcp from any to me 3232 # SSH<br>${cmd} add allow all from me to any keep-state<br>${cmd} add allow icmp from any to me icmptypes 0,8,11<br>${cmd} add allow all from any to me 80<br><br>${cmd} add fwd 10.92.128.1,80 tcp from "table(0)" to any dst-port 80,8080 via igb1 # to httpd редиректит на 1.2.3.5<br>не работает. Может эту строчку надо в другое место?<br><br>${cmd} nat 1 config log if igb0 reset same_ports deny_in<br>${cmd} add nat 1 ip from any to any via igb0<br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#13 Fri, 30 Jan 2015 15:51:19 GMT &gt; Большое спасибо! У меня всё заработало.<br>&gt; С меня пиво или чай! :) <br><br>алкоголь не потребляю, а за чаёк - спасибо!<br>ну, (поднимая кружечку с чаем), за файервол ))<br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#12 Fri, 30 Jan 2015 11:09:24 GMT Для проброса портов Испрользуте утилиту rinetd<br>http://rootmaster.at.ua/publ/redirekt_portov_s_pomoshhju_rinetd/1-1-0-44<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#11 Fri, 30 Jan 2015 09:52:28 GMT &gt;&gt;&gt;&gt; add 50 nat 1 all from any to any via igb1 <br>&gt;&gt; Так не работает.<br>&gt;&gt; Работает так: <br>&gt;&gt; add 50 nat 1 all from any to any via igb0 <br>&gt; да, конечно, я неправильно указал интерфейс для nat, ошибся <br><br>Большое спасибо! У меня всё заработало.<br>С меня пиво или чай! :)<br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#10 Fri, 30 Jan 2015 04:19:38 GMT &gt;&gt;&gt; add 50 nat 1 all from any to any via igb1 <br>&gt; Так не работает.<br>&gt; Работает так: <br>&gt; add 50 nat 1 all from any to any via igb0 <br><br>да, конечно, я неправильно указал интерфейс для nat, ошибся<br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#9 Thu, 29 Jan 2015 14:33:42 GMT &gt; FreeBSD 9.3-RELEASE на всякий случай.<br>&gt;&gt; nat 1 config log if igb0 reset # (deny_in same_ports unreg_only - <br>&gt;&gt; при необходимости) <br>&gt;&gt; add 50 nat 1 all from any to any via igb1 <br><br>Так не работает.<br>Работает так:<br>add 50 nat 1 all from any to any via igb0<br>это нормально? (igb0 - внешний интерфейс с адресом 1.2.3.2)<br>p.s. Я так долго, потому что создала пробный стенд, где и буду тестировать.<br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#8 Wed, 28 Jan 2015 20:01:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ${cmd} add fwd 10.92.128.1,80 tcp from "table(0)" to any dst-port 80,8080 via <br>&gt;&gt; igb1 # to httpd редиректит на 1.2.3.5 <br>&gt;&gt; не работает. Может эту строчку надо в другое место?<br>&gt;&gt; 1 - куда всё же редиректит - раз. ну и при fwd <br>&gt;&gt; source addr не меняется. потому или из юзерспейса redir использовать, или <br>&gt;&gt; натить тоже.<br>&gt; На себя,(у меня lighttpd на 10.92.128.1) а далее с помощью html-кода редирект <br>&gt; на другой сервер.<br>&gt;&gt; 2 - а что с one_pass ?<br>&gt; net.inet.ip.fw.one_pass: 1 <br><br>в правилах ваервола счетчики растут? если да - что в логах lighttpd смотреть<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#7 Wed, 28 Jan 2015 16:23:49 GMT &gt; Всё работало, пока я не добавила deny_in к nat (мне это надо) <br><br>Во-о-о-т! Ну-у-у, а вы чего ожидали? deny_in запрещает входящие (( <br><br>&gt;&gt; ssh на нестандартном порту разрешаете всем, а зачем?<br>&gt; Мне надо заходить на сервер с разных, непредсказуемых ip <br>&gt;&gt; А смысл тогда в отдельной записи?<br>&gt; Чтоб не использовать такую строчку: add allow all from any to 1.2.3.2 <br><br>так увас оно и так разрешено по дефолту, зачем же ещё раз явно??<br> <br><br>&gt;&gt; # разрешаем серверу и к нему <br>&gt;&gt; add 400 allow all from 1.2.3.2 to any <br>&gt;&gt; add 410 allow all from any to 1.2.3.2 <br>&gt; Можно эти два правила заменить этим?: add allow all from me to any keep-state <br><br>тогда уж делаем по букварю<br><br># разрешить пакеты, состояние для которых было установлено <br>${fwcmd} add check-state<br><br># для сервисов указанных ниже <br>${fwcmd} add pass tcp from me to any established<br><br># разрешить любые соединения, добавляя состояние для каждого<br>${fwcmd} add pass tcp from me to any setup keep-state<br>${fwcmd} add pass udp from me to any keep-state<br>${f https://www.opennet.ru/openforum/vsluhforumID1/95957.html#6 Wed, 28 Jan 2015 15:47:29 GMT &gt; форвардинг разрешен? aka gateway_enable="YES" в rc.conf ?<br><br>Конечно!<br><br>&gt; ${cmd} add fwd 10.92.128.1,80 tcp from "table(0)" to any dst-port 80,8080 via <br>&gt; igb1 # to httpd редиректит на 1.2.3.5 <br>&gt; не работает. Может эту строчку надо в другое место?<br>&gt; 1 - куда всё же редиректит - раз. ну и при fwd <br>&gt; source addr не меняется. потому или из юзерспейса redir использовать, или <br>&gt; натить тоже.<br><br>На себя,(у меня lighttpd на 10.92.128.1) а далее с помощью html-кода редирект на другой сервер.<br><br>&gt; 2 - а что с one_pass ?<br><br>net.inet.ip.fw.one_pass: 1<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95957.html#5 Wed, 28 Jan 2015 15:40:30 GMT FreeBSD 9.3-RELEASE на всякий случай.<br>&gt; А у вас это работает?<br>&gt; Правила загружали, тестировали?<br><br>Всё работало, пока я не добавила deny_in к nat (мне это надо)<br><br>&gt; Очереди не используете, а вы их очищаете! Зачем?<br><br>Очередей нет, уберу.<br><br>&gt; правило для icmp отдельно прописываете, <br>&gt; ssh на нестандартном порту разрешаете всем, а зачем?<br><br>Мне надо заходить на сервер с разных, непредсказуемых ip<br><br>&gt; А смысл тогда в отдельной записи?<br><br>Чтоб не использовать такую строчку: add allow all from any to 1.2.3.2<br>Она мне кажется страшной. Я не права?<br>&gt; 80 порт - такая же фигня.<br>&gt; Чего хотите добиться ?<br>&gt; насколько я понял, есть сеть 10.92.128.0/24 <br>&gt; есть таблица для хороших - 0 <br>&gt; есть таблица для плохих - 1 <br><br>table 0 - заблокированные, table 1 - разрешённые.<br><br>&gt; сеть 10.92.128.0/24 - это вся "хорошая сеть" ?<br>&gt; или в этом адресном пространстве и "плохие" также крутятся?<br><br>В этой сети и плохие и хорошие.<br><br>&gt; еще, как я понял нужно ограничить скорость в инет?<br>&gt; указано неверно, в man ipfw сказано "Bandwidth