forum.opennet.ru - "ipfw для шлюза" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw для шлюза"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw для шлюза"
Сообщение от lyric (ok) on 01-Окт-08, 16:50
Здравствуйте Вопрос обсуждался уже многократно, статьи по нему есть на каждом уважающем себя сайте - а вот, споткнулся) Задача - организовать выход в интернет для подсети 192.168.0.0/24 шлюзом на freebsd 6.3 (2 сетевухи) Снаружи должны быть видны только 22 и 80 порты. После вдумчивого прочтения кучи документации получилось это: 00100 check-state 00260 divert 8668 ip from 192.168.0.0/24 to any out via rl0 00270 divert 8668 ip from any to 193.178.237.142 in via rl0 00280 allow ip from me to any keep-state 00300 allow ip from any to any via lo 00500 allow ip from any to any via rl1 65535 deny ip from any to any (rl0 - внешняя сетевушка, rl1 - внутренняя) Проблема в том, что конструкция не работает) Проблема именно в наборе правил, т.к. если добавить в конце ipfw add allow ip from any to any - все работает. Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к своей ситуации почему-то не могу. Просьба указать, где грабли...
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw для шлюза, arachnid, 17:48 , 01-Окт-08, (1)
ipfw для шлюза, aurved, 18:05 , 01-Окт-08, (2)

ipfw для шлюза, lyric, 18:17 , 01-Окт-08, (3)

ipfw для шлюза, Square, 04:01 , 02-Окт-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw для шлюза"

Сообщение от arachnid (ok) on 01-Окт-08, 17:48

>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...
так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
а правила, разрешающего внутренней сети ходить наружу - не наблюдается

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw для шлюза"

Сообщение от aurved on 01-Окт-08, 18:05

>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...
А вот один вопрос? NAT то запущен?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw для шлюза"

Сообщение от lyric (ok) on 01-Окт-08, 18:17

>А вот один вопрос? NAT то запущен?
Запущен. Я же писал: если разрешить всем все - инет есть.
>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
Попробую завтра...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw для шлюза"

Сообщение от Square (ok) on 02-Окт-08, 04:01

>>А вот один вопрос? NAT то запущен?
>
>Запущен. Я же писал: если разрешить всем все - инет есть.
>
>>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>
>т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
>
>Попробую завтра...
На самом деле при наличие ната -выдуманные вами правила - вздор...

add 31000 allow ip from any to any via lo0
add 33950 allow tcp from any to me 22,80 keep-state
add 35250 divert natd all from any to any via внешняя_карточка
add 35300 allow all from any to any
а в конфиге ната указать:
deny_incoming yes
это правило зарэжэт :) все входящие пакеты пришедшие не в ответ на исходящие пакеты...
в конфиг ната же встраиваются правила для редиректа портов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw для шлюза"
Сообщение от arachnid (ok) on 01-Окт-08, 17:48
>[оверквотинг удален] >65535 deny ip from any to any > >(rl0 - внешняя сетевушка, rl1 - внутренняя) > >Проблема в том, что конструкция не работает) Проблема именно в наборе правил, >т.к. если добавить в конце >ipfw add allow ip from any to any - все работает. > >Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к >своей ситуации почему-то не могу. Просьба указать, где грабли... так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети. а правила, разрешающего внутренней сети ходить наружу - не наблюдается
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "ipfw для шлюза"
Сообщение от aurved on 01-Окт-08, 18:05
>[оверквотинг удален] >65535 deny ip from any to any > >(rl0 - внешняя сетевушка, rl1 - внутренняя) > >Проблема в том, что конструкция не работает) Проблема именно в наборе правил, >т.к. если добавить в конце >ipfw add allow ip from any to any - все работает. > >Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к >своей ситуации почему-то не могу. Просьба указать, где грабли... А вот один вопрос? NAT то запущен?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ipfw для шлюза"
	Сообщение от lyric (ok) on 01-Окт-08, 18:17
	>А вот один вопрос? NAT то запущен? Запущен. Я же писал: если разрешить всем все - инет есть. >так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети. >а правила, разрешающего внутренней сети ходить наружу - не наблюдается т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state? Попробую завтра...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "ipfw для шлюза"
	Сообщение от Square (ok) on 02-Окт-08, 04:01
	>>А вот один вопрос? NAT то запущен? > >Запущен. Я же писал: если разрешить всем все - инет есть. > >>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети. >>а правила, разрешающего внутренней сети ходить наружу - не наблюдается > >т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state? > >Попробую завтра... На самом деле при наличие ната -выдуманные вами правила - вздор... add 31000 allow ip from any to any via lo0 add 33950 allow tcp from any to me 22,80 keep-state add 35250 divert natd all from any to any via внешняя_карточка add 35300 allow all from any to any а в конфиге ната указать: deny_incoming yes это правило зарэжэт :) все входящие пакеты пришедшие не в ответ на исходящие пакеты... в конфиг ната же встраиваются правила для редиректа портов
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]