Помогите с настройкой ipfw.

[z24]

Во Фре новичёк firewall_type="open" не пойму в чём дело
ipfw show
00050 5773 410733 divert 8668 ip4 from any to any via nve0
00100 156 8816 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 5878 422666 allow ip from any to any
65535 729 76750 deny ip from any to any

FreeBSD 6.1 файервол подключал модулем потом включил в ядро ipfw show показывает одно и то же

natd_enable a NAT не работает не пускает в И-нет из локалки

[Maestro]

Во Фре новичёк firewall_type="open" не пойму в чём дело
ipfw show
00050 5773 410733 divert 8668 ip4 from any to any via nve0
00100 156 8816 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 5878 422666 allow ip from any to any
65535 729 76750 deny ip from any to any

FreeBSD 6.1 файервол подключал модулем потом включил в ядро ipfw show показывает одно и то же

natd_enable a NAT не работает не пускает в И-нет из локалки

rc.conf покажите

[z24]

defaultrouter=192.168.213.1
gateway_enable="YES"
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="nve0"
natd_script="/etc/natd.conf"
firewall_enable="YES"
firewall_type="open"
hostname=sam.sam
keymap="ru.koi8-r"
moused_enable="YES"
moused_type="auto"
usbd_enable="YES"
network_interfaces="vr0 nve0"
ifconfig_lo0="dhcp 127.0.0.0/8"
ifconfig_vr0="inet 192.168.50.1 netmask 0xffffff00"
ifconfig_nve0="inet 192.168.213.98 netmask 0xffffff00"

[GeoF]

2 z24

Вообще на будущее не помешает:

Код: Выделить всё

# echo "net.inet.ip.fw.one_pass=0" >> /etc/sysctl.conf && sysctl net.inet.ip.fw.one_pass=0

А почему вы решили, что у Вас FW не работает? Счетчики у правил не нулевые.

network_interfaces="vr0 nve0"

lo0 где? Поправьте и перезапустите сеть.

[z24]

2 z24

Вообще на будущее не помешает:

Код: Выделить всё

# echo "net.inet.ip.fw.one_pass=0" >> /etc/sysctl.conf && sysctl net.inet.ip.fw.one_pass=0

А почему вы решили, что у Вас FW не работает? Счетчики у правил не нулевые.

network_interfaces="vr0 nve0"

lo0 где? Поправьте и перезапустите сеть.

Сегодня вечером попробую ,FW работает а NAT нет

[GeoF]

Кстати, а что за опция у Вас в rc.conf: natd_script="/etc/natd.conf" ? Может вам следует написать так?

Код: Выделить всё

natd_flags="-f /etc/natd.conf"                   # Additional flags for natd.

[z24]

Кстати, а что за опция у Вас в rc.conf: natd_script="/etc/natd.conf" ? Может вам следует написать так?

Код: Выделить всё

natd_flags="-f /etc/natd.conf"                   # Additional flags for natd.

Когда пишешь Flags пропадает опция divert из правил фаерволла ,сегодня всё заработало само собой без проблем фантастика да и только ,ни чего не менял просто включил сегодня и всё пошло

[-Dolphin-]

Всем добрый день.
Вот накидал правила для сервера внутри сети (192.168.6.66)

Код: Выделить всё

#!/bin/sh
cmd="ipfw -q add"
pif="xl0"

# Flush out the list before we begin.
ipfw -q -f flush


$cmd 010 check-state
$cmd 011 allow ip from any to any via lo0
$cmd 018 allow icmp from any to any icmptypes 0,8,11

$cmd 020 allow udp from me to any 53 out via $pif
$cmd 025 allow udp from any 53 to me in via $pif


$cmd 030 allow tcp from any to me 22 via $pif setup keep-state
$cmd 031 allow tcp from any to me 80 via $pif setup keep-state
$cmd 032 allow tcp from any to me 6112 via $pif setup keep-state
$cmd 033 allow udp from any to me 6112 via $pif setup keep-state
$cmd 034 allow tcp from any to me 139 via $pif setup keep-state
$cmd 035 allow tcp from any to me 445 via $pif setup keep-state
$cmd 036 allow udp from any to me 137 via $pif setup keep-state
$cmd 037 allow udp from any to me 138 via $pif setup keep-state
$cmd 038 allow tcp from any to me 6200 via $pif setup keep-state

$cmd 051 pass tcp from any 1024-65535 to me 21,1024-65535
$cmd 052 pass tcp from me 21,1024-65535 to any 1024-65535 established

$cmd 999 deny log all from any to any

Вопрос в следующем
1) почему когда я запускаю правила у меня теряется консоль(и приходиться вводить длинные пароли снова)
2) как разрешить команду traceroute с консоли сервера ?
3) в /var/log/security валятся тоннами(по 100 и больше) сообщения типа
kernel: ipfw: 999 Deny UDP 192.168.6.180:137 192.168.6.255:137 in via xl0
Что это ? Я чтото не открыл ?

[Maestro]

2 -Dolphin-

Вопрос в следующем
1) почему когда я запускаю правила у меня теряется консоль(и приходиться вводить длинные пароли снова)
2) как разрешить команду traceroute с консоли сервера ?
3) в /var/log/security валятся тоннами(по 100 и больше) сообщения типа
kernel: ipfw: 999 Deny UDP 192.168.6.180:137 192.168.6.255:137 in via xl0
Что это ? Я чтото не открыл ?

1. Сколько у Вас на фряшном сервере сетевых интерфейсов?
2. Зачем Вы открываете виндузятные порты? 137,138,139??? У меня эти порты перекрыты в обе стороны и специально не логируются, дабы не засорять логи. Вам того же советую.
3. В роли чего выступает Ваш сервер?

2 z24

Когда пишешь Flags пропадает опция divert из правил фаерволла ,сегодня всё заработало само собой без проблем фантастика да и только ,ни чего не менял просто включил сегодня и всё пошло

Опция divert из правил IPFW никуда не пропадает. Она прописана в самом начале и применяется ко всем типам настройки IPFW (open,simple,client and etc.) Читайте внимательней rc.firewall. А вообще советую написать собственные правила - ибо надежней.

[-Dolphin-]

>1. Сколько у Вас на фряшном сервере сетевых интерфейсов?
>2. Зачем Вы открываете виндузятные порты? 137,138,139??? У меня эти порты перекрыты в обе стороны и специально не логируются, дабы не засорять >логи. Вам того же советую.
>3. В роли чего выступает Ваш сервер?

Добрый вечер.
1 - одна сетевуха - 3com - ip static - 192.168.6.66
2- разве 137,138,139 не используются samb'ой ? netstat -na показывает что якобы они нужны
3 - обычный файловый сервер, еще запущен локальный батлнет(с вввшной мордой), и все на этом

[-Dolphin-]

Всем огромное спасибо за помощь( чем мне нравиться опенсурс помощь, так это просто молчанием)
Пришлось потратить достаточно много времени, но написал свое родное

Код: Выделить всё

fwcmd="/sbin/ipfw"
iif="xl0"
iip="192.168.6.66"

${fwcmd} -f flush

${fwcmd} add check-state

# Local net
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any


${fwcmd} add allow tcp from any to any established
${fwcmd} add allow ip from ${iip} to any out xmit ${iif}
${fwcmd} add allow udp from any 53 to any via ${iif}
${fwcmd} add allow icmp from any to any icmptypes 0,8,11
${fwcmd} add allow tcp from any to ${iip} 80 via ${iif}
${fwcmd} add allow tcp from any to ${iip} 22 via ${iif}
${fwcmd} add allow tcp from any to ${iip} 6112 via ${iif}
${fwcmd} add allow udp from any to ${iip} 6112 via ${iif}
${fwcmd} add allow tcp from any to ${iip} 139 via ${iif}
${fwcmd} add allow tcp from any to ${iip} 445 via ${iif}


${fwcmd} add count tcp from any to any in via ${iif}
${fwcmd} add count tcp from any to any out via ${iif}
${fwcmd} add count udp from any to any via ${iif}
${fwcmd} add count icmp from any to any via ${iif}

${fwcmd} add deny ip from any to any

Только осталось разобраться с пассивным фтп и правилами...

[GeoF]

man natd на предмет punch_fw

[Maestro]

man natd на предмет punch_fw

Да ему даемон ната нафик не нужен. Сетевой интерфейс-то один одинешенек. Натить нечего )))

2 Дельфин
И еще бы посоветовал вебморду (80) и SSH (22) открыть только для админской машины. У которой, например, адрес 192.168.6.2 - то правила изменил бы так:
${fwcmd} add allow tcp from 192.168.6.2 to ${iip} 80 via ${iif}
${fwcmd} add allow tcp from 192.168.6.2 to ${iip} 22 via ${iif}

[Thug]

Если не затруднит, то подскажите плз:

Код: Выделить всё

#!/bin/sh
# Manual script for ipfw

echo -n "Starting firewall..."

ipfw="/sbin/ipfw"

int_if="rl0"

int_ip="192.168.100.43"

int_net="192.168.100.0/24"

off_net="10.176.0.0/24"

#Allow interior FreeBSD functions
${ipfw} add allow all from any to any via lo0
${ipfw} add deny all from any to 127.0.0.0/8

#Allow all from this machine
${ipfw} add allow all from $int_ip to any

#Allow connects from server network
${ipfw} add allow all from $int_net to any

#Allow connects from office network
${ipfw} add allow all from $off_net to any

#Close all other traffic
${ipfw} add deny all from any to any
echo "DONE"

Вот такой вот скриптик все настраивает. По внутренней сетке 192,168 все работает, по офисной 10,176 тоже. А вот наружу не ходит трафик ( в интернет то есть). Где косяк?

[miver]

добавь еще правила типа снаружи на сетку и офис
allow all from any to $int_net
allow all from any to $off_net

[Thug]

Добавил - не ожило. Это не роутер, просто машинка в сети

[miver]

Добавил - не ожило. Это не роутер, просто машинка в сети

значить allow all from any to me (ну или $int_ip как у вас)
трафик то из сети и офиса вы разрешили на any (т.е. в том числе и на вас) и разрешили от себя на any, а от any на себя не разрешили, соответственно и работает только сеть и офис

[Thug]

Ага, понятно. Такого счастья не надо - иначе не было смысла все закрывать . Спасибо. Впрочем, как вариант, поставить условие established... надо будет проверить.

[miver]

Ага, понятно. Такого счастья не надо - иначе не было смысла все закрывать . Спасибо. Впрочем, как вариант, поставить условие established... надо будет проверить.

ну значит открой определенные порты

[Dmitry.Karpov]

комп не является раутером

А зачем тебе тогда FireWall, да такой сложный? Рули доступом на уровне программ/сервисов, и желательно не по машинам, а по юзерам.

А для отладки (для выяснения, какое правило тебе мешает) используй правила с опцией count - они ничего не делают, но позволяют определить, обрубается ли пакет до или после него.

[Maestro]

Если не затруднит, то подскажите плз:

Код: Выделить всё

#!/bin/sh
# Manual script for ipfw

echo -n "Starting firewall..."

ipfw="/sbin/ipfw"

int_if="rl0"

int_ip="192.168.100.43"

int_net="192.168.100.0/24"

off_net="10.176.0.0/24"

#Allow interior FreeBSD functions
${ipfw} add allow all from any to any via lo0
${ipfw} add deny all from any to 127.0.0.0/8

#Allow all from this machine
${ipfw} add allow all from $int_ip to any

#Allow connects from server network
${ipfw} add allow all from $int_net to any

#Allow connects from office network
${ipfw} add allow all from $off_net to any

#Close all other traffic
${ipfw} add deny all from any to any
echo "DONE"

Вот такой вот скриптик все настраивает. По внутренней сетке 192,168 все работает, по офисной 10,176 тоже. А вот наружу не ходит трафик ( в интернет то есть). Где косяк?

Проверьте таблицу маршрутизации и покажите rc.conf

[Thug]

Пардон, поднимали новый УПС - не до сетки было.
Итак. Маршруты:
Internet:
Destination Gateway Flags Refs Use Netif Expire
default segm-gw UGS 0 11104 rl0
localhost localhost UH 0 78 lo0
192.168.100 link#1 UC 0 0 rl0
segm-gw 00:1a:a1:85:73:bf UHLW 2 0 rl0 592
ns 00:0a:e4:63:f7:7d UHLW 1 511 rl0 1193
192.168.100.28 00:15:f2:31:a5:07 UHLW 1 255 rl0 958

cat /etc/rc.conf

# -- sysinstall generated deltas -- # Tue May 22 18:22:24 2007
# Created: Tue May 22 18:22:24 2007
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.

#Net
defaultrouter="192.168.100.1"
hostname="***"
ifconfig_rl0="inet 192.168.100.43 netmask 255.255.255.0"

#Firewall configuring
firewall_enable="YES" # Set to YES to enable firewall functionality
firewall_script="/etc/rc.ipfw" # Which script to run to set up the firewall

#Startup daemons
usbd_enable="YES"
sendmail_enable="NONE"

[Maestro]

Пардон, поднимали новый УПС - не до сетки было.
Итак. Маршруты:
Internet:
Destination Gateway Flags Refs Use Netif Expire
default segm-gw UGS 0 11104 rl0
localhost localhost UH 0 78 lo0
192.168.100 link#1 UC 0 0 rl0
segm-gw 00:1a:a1:85:73:bf UHLW 2 0 rl0 592
ns 00:0a:e4:63:f7:7d UHLW 1 511 rl0 1193
192.168.100.28 00:15:f2:31:a5:07 UHLW 1 255 rl0 958

cat /etc/rc.conf

# -- sysinstall generated deltas -- # Tue May 22 18:22:24 2007
# Created: Tue May 22 18:22:24 2007
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.

#Net
defaultrouter="192.168.100.1"
hostname="***"
ifconfig_rl0="inet 192.168.100.43 netmask 255.255.255.0"

#Firewall configuring
firewall_enable="YES" # Set to YES to enable firewall functionality
firewall_script="/etc/rc.ipfw" # Which script to run to set up the firewall

#Startup daemons
usbd_enable="YES"
sendmail_enable="NONE"

Как можно заметить, у вас в таблице маршрутизации отсутствует сеть 10.176.0.0, поэтому

Код: Выделить всё

route add -net 10.176.0.0 -gateway 192.168.100.43 -netmask 255.255.255.0

Я так понял, что у Вас всего один сетевой интерфейс.
А дальше пингуете адреса из офисной сетки, и с любого компа в офисной сетке пингуете себя. Если пинги идут, то все в порядке, если нет, подправьте IPFW. А вообще все должно заработать.

Да... Сейчас посмотрел повнимательней. rc.ipfw Вам все-таки придется подправить, смотрите в сторону правил check-state, keep-state, skip to либо established.
Попробуйте например так

Код: Выделить всё

#Allow all from this machine
${ipfw} add allow all from $int_ip to any established

#Allow connects from server network
${ipfw} add allow all from $int_net to any established

[Thug]

Сенкс, вроде бы все ок.