The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw для шлюза"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"ipfw для шлюза"  
Сообщение от lyric (ok) on 01-Окт-08, 16:50 
Здравствуйте

Вопрос обсуждался уже многократно, статьи по нему есть на каждом уважающем себя сайте - а вот, споткнулся)

Задача - организовать выход в интернет для подсети 192.168.0.0/24 шлюзом на freebsd 6.3 (2 сетевухи)
Снаружи должны быть видны только 22 и 80 порты.

После вдумчивого прочтения кучи документации получилось это:
00100 check-state
00260 divert 8668 ip from 192.168.0.0/24 to any out via rl0
00270 divert 8668 ip from any to 193.178.237.142 in via rl0
00280 allow ip from me to any keep-state
00300 allow ip from any to any via lo
00500 allow ip from any to any via rl1
65535 deny ip from any to any

(rl0 - внешняя сетевушка, rl1 - внутренняя)

Проблема в том, что конструкция не работает) Проблема именно в наборе правил, т.к. если добавить в конце
ipfw add allow ip from any to any - все работает.

Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к своей ситуации почему-то не могу. Просьба указать, где грабли...

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw для шлюза"  
Сообщение от arachnid email(ok) on 01-Окт-08, 17:48 
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...

так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
а правила, разрешающего внутренней сети ходить наружу - не наблюдается

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw для шлюза"  
Сообщение от aurved on 01-Окт-08, 18:05 
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...

А вот один вопрос? NAT то запущен?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw для шлюза"  
Сообщение от lyric (ok) on 01-Окт-08, 18:17 
>А вот один вопрос? NAT то запущен?

Запущен. Я же писал: если разрешить всем все - инет есть.

>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>а правила, разрешающего внутренней сети ходить наружу - не наблюдается

т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
Попробую завтра...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw для шлюза"  
Сообщение от Square (ok) on 02-Окт-08, 04:01 
>>А вот один вопрос? NAT то запущен?
>
>Запущен. Я же писал: если разрешить всем все - инет есть.
>
>>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>
>т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
>
>Попробую завтра...

На самом деле при наличие ната -выдуманные вами правила - вздор...


add 31000 allow ip from any to any via lo0
add 33950 allow tcp from any to me 22,80 keep-state
add 35250 divert natd all from any to any via внешняя_карточка
add 35300 allow all from any to any

а в конфиге ната указать:
deny_incoming yes

это правило  зарэжэт  :) все входящие пакеты пришедшие не в ответ на исходящие пакеты...
в конфиг ната же встраиваются правила для редиректа портов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру