The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"немогу разобраться с IPFW"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"немогу разобраться с IPFW"
Сообщение от atech Искать по авторуВ закладки on 24-Авг-04, 15:02  (MSK)
есть FreeBSD 5.2.1, настраиваю NAT+firewall:
rc.conf
hostname="gateway"
network_interfaces="lo0 vr0 vr1"
defaultrouter="2.2.2.2"

ifconfig_lo0="inet 127.0.0.1"
ifconfig_vr0="inet 1.1.1.1 netmask 255.255.255.248"
ifconfig_vr1="inet 192.168.0.10 netmask 255.255.255.0"

gateway_enable="YES"
firewall_enable="YES"
firewall_type="ROUTER-NET"

natd_enable="YES"
natd_interface="vr0"

в resolv.conf ДНСы провайдера
search 4.4.4.4
nameserver 4.4.4.4
search 4.4.4.1
nameserver 4.4.4.1

rc. firewall - взял конфиг от сюда http://bsd.opennet.ru/base/net/ipfw_setup.txt.html
пример тот что наз. ROUTER-NET
изменил только
# Set these to your outside interface network and netmask and ip.
        oif="vr0"
        onet="1.1.1.0"
        omask="255.255.255.248"
        oip="1.1.1.1"

        # Set these to your inside interface network and netmask and ip.
        iif="vr1"
        inet="192.168.0.0"
        imask="255.255.255.0"
        iip="192.168.0.10"
вот, при этом конфиге нефига неработает, даже шлюз 2.2.2.2 непингуется.

а в /var/log/security увидел вот чего:
Aug 24 21:31:34 gateway kernel: ipfw: 2700 Deny UDP 1.1.1.1:49152 4.4.4.4:53 out via vr0
ну и так дале Deny TCP.
в чем проблема? надеюсь не в ДНК :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "немогу разобраться с IPFW"
Сообщение от vpn emailИскать по авторуВ закладки(??) on 25-Авг-04, 10:07  (MSK)
1. У тя ядро с поддержкой фаирвола ?
2. покажи `ipfw show`
скорее всего у тя там одно правило deny ip from any to any
3. rc.conf
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/usr/local/etc/firewall.conf"
firewall_quiet="YES"
создай файл /usr/local/etc/firewall.conf и в нем пиги свои правила фаира:
типа того:
add 100 allow ip from any to any
add 200 ...
add 210 ...
и т.д.
потом sh /etc/rc.firewall
и смотри что у тя будет в фаире ipfw show


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "немогу разобраться с IPFW"
Сообщение от atech Искать по авторуВ закладки on 25-Авг-04, 13:08  (MSK)
>1. У тя ядро с поддержкой фаирвола ?
да
>2. покажи `ipfw show`
выводит все правила кторорые и были назначены
>скорее всего у тя там одно правило deny ip from any to
>any
>3. rc.conf
>firewall_enable="YES"
>firewall_script="/etc/rc.firewall"
>firewall_type="/usr/local/etc/firewall.conf"
>firewall_quiet="YES"
>создай файл /usr/local/etc/firewall.conf и в нем пиги свои правила фаира:
>типа того:
>add 100 allow ip from any to any
>add 200 ...
>add 210 ...
>и т.д.
>потом sh /etc/rc.firewall
>и смотри что у тя будет в фаире ipfw show

попробую сделать так.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "немогу разобраться с IPFW"
Сообщение от atech Искать по авторуВ закладки on 27-Авг-04, 12:30  (MSK)
может кто подкинет конфиг файрвола, чтоб все входы кроме SSH были закрыты и был NAT :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "немогу разобраться с IPFW"
Сообщение от Uanic emailИскать по авторуВ закладки(??) on 31-Авг-04, 11:57  (MSK)
#local net
ipfw add allow all from any to any via vr1
#natd
ipfw add divert natd all from 192.168.0.0/24 to any via vr0 out
ipfw add divert natd all from any to 1.1.1.1 via vr0 in
#allow ssh
ipfw add allow tcp from any to 1.1.1.1 22 via vr0 setup
ipfw add allow tcp from 1.1.1.1 22 to any via vr0 established
ipfw add allow tcp from any to 1.1.1.1 22 via vr0 established
#deny other connect
ipfw add deny tcp from any to 1.1.1.1 via vr0 setup
#allow all other
ipfw add allow tcp from 1.1.1.1 to any via vr0 out established
ipfw add allow tcp from any to 1.1.1.1 via vr0 in established
#dat' net for local net
ipfw add allow tcp from any to 192.168.0.0/24 in
#deny for all
ipfw add deny log all from any to any
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру