The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw.sh не  форвардит на squid "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw.sh не  форвардит на squid "  
Сообщение от svyazist2005 email(ok) on 25-Дек-06, 22:26 
Прокся как прозрачнаяне работает  чего делаю не так ?
конфиг выглядит вот так:

#!/bin/sh

IPFW="/sbin/ipfw"

#outside interface, network, netmask and ip
oif="xl0"
onet="245.9.249.10"
omask="255.255.255.0"
oip="245.9.249.2"

#inside interface, network, netmask and ip
iif="rl0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.1"

###table luck
$IPFW table 1 flush
$IPFW table 1 add 192.168.0.1
$IPFW table 1 add 212.9.249.74

$IPFW -f flush

#####LOOPBACK#####
$IPFW add 00100 pass all from any to any via lo0
$IPFW add 00200 deny all from any to 127.0.0.0/8
$IPFW add 00300 deny ip from 127.0.0.0/8 to any

$IPFW add 01100 fwd 192.168.0.1,8080 tcp from $inet:$imask to any 80

$IPFW add 01000 allow tcp from $inet:$imask to $iip via $iif

$IPFW add 02000 pass tcp from any to $oip 21 setup
$IPFW add 02100 pass tcp from any to $oip 22 setup
$IPFW add 02200 pass tcp from any to $oip 49152-65535 setup

#samba

$IPFW add 03100 allow tcp from any to me 137,139
$IPFW add 03200 allow udp from any to me 137,139
$IPFW add 03300 allow udp from any to me 138
$IPFW add 03400 allow tcp from any 137,139 to me
$IPFW add 03500 allow udp from any 137,139 to me
$IPFW add 03600 allow udp from any 138 to me  
$IPFW add 03700 allow tcp from $inet:$imask to me

###SMTP DEFENCE
$IPFW add 04000 deny tcp from $inet:$imask to not table\(1\) 25

########NAT
$IPFW add 05000 divert 8668 ip from $inet:$imask to not $inet:$imask out xmit $oif
$IPFW add 05100 divert 8668 ip from not $inet:$imask to $oip in recv $oif
$IPFW add 05200 allow ip from $inet:$imask to any

$IPFW add 06600 allow ip from any to any

И еще подскажите как правильно написать правила на трафик чтобы не делать так явно 06600

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "ipfw.sh не  форвардит на squid "  
Сообщение от binladin email on 26-Дек-06, 09:13 
>Прокся как прозрачнаяне работает  чего делаю не так ?
>конфиг выглядит вот так:
Гы, а Фря то какая, форвардинг и расширенный форвардинг в ядро вкомпилен ?

>И еще подскажите как правильно написать правила на трафик чтобы не делать
>так явно 06600

  Читай здесь:
  1) http://www.onlamp.com/pub/a/bsd/2006/08/24/ipfw-for-firewalls.html
  2) http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
  По русски:
  1) читай на Опеннете "Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER)"

  У меня что то типа:
  uports="1025-65535"
  int_if="rl0"
  ext_if="tun0"

  int_ip="........"
  ext_ip="........"

  int_net="10.0.0.0/24"
  vip_net="10.0.0.0/27,10.0.0.110,10.0.0.44"

  for_lan="smtp,pop3,domain"
  for_vip="smtp,pop3,domain,http,https,aol,telnet,ftp,ftp\\-data,ssh,nicname,ntp,svn"
  Добавить что надобно по вкусу

  ${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
  ${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established
  ${ipfw} add allow tcp from any $for_vip to $vip_net $uports in recv $ext_if established
  А потом Все Deny


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру