URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39737
[ Назад ]

Исходное сообщение
"nat na FREEBSD 5.1"

Отправлено ZloiJoker , 25-Янв-04 16:49 
Ура что то есть, но осталось ряд неясностей

Код:  
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}

пояснение: 192.168.1.2 на фри смотрящий в инет. em0 он же

Пересобрал ядро с параметром, фаервол все разрешает и опа инет забегал, с натом проблемы пропали..
пытаю пингануть www.ru определяется ip  все дальше говорит таим из аут думаю что за ботва начинаю мочить правила, поочередно после того как убиваю 320 пинг проходит как так почему ?

2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть яа ру, определяется ip ( УРА !! )
но пинг говорит тайм аут
И если в браузере пытаюсь открыть страничку хрен то.
Что надо подправить ?


Содержание

Сообщения в этом обсуждении
"nat na FREEBSD 5.1"
Отправлено temny , 25-Янв-04 17:56 
>${ipfw} add 320 allow icmp from any to any
>
>пояснение: 192.168.1.2 на фри смотрящий в инет. em0 он же
>
>Пересобрал ядро с параметром, фаервол все разрешает и опа инет забегал, с
>натом проблемы пропали..
>пытаю пингануть www.ru определяется ip  все дальше говорит таим из аут
>думаю что за ботва начинаю мочить правила, поочередно после того как
>убиваю 320 пинг проходит как так почему ?

Выдержка из man ipfw
allow | accept | pass | permit - Allow packets that match rule.  The search terminates.

Т.е. все icmp пакеты "оседают" на 320м правиле, и, после этого правила, поиск прекращается и до диверта не доходит.

>2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть
>яа ру, определяется ip ( УРА !! )
>но пинг говорит тайм аут

По поводу пинга см. выше.

>И если в браузере пытаюсь открыть страничку хрен то.
>Что надо подправить ?

Например:
${ipfw} add 550 allow ip from any to 192.168.х.х
${ipfw} add 550 allow ip from 192.168.х.х to any
192.168.х.х - локальный пользователь(пользователи)


"nat na FREEBSD 5.1"
Отправлено ZloiJoker , 26-Янв-04 12:02 
подправил:

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
${ipfw} add 550 allow ip from any to ${ournet}
${ipfw} add 560 allow ip from ${ournet} to any
${ipfw} add 1000 allow icmp from any to any

При собирание фаервола все разрешено все пингуется все шиколадно все чики пики.

При собирание все запрещено пингуется: 192.168.1.2 - интерфейс шлюза наружу
192.168.1.1 - айпи гейта для шлюза .
Но вот когда пингую www.ru или что то еще даже, айпи не определяется ..
что не так ?

пояснения ${ournet} - внуиренняя подсеть.


"nat na FREEBSD 5.1"
Отправлено ZloiJoker , 26-Янв-04 19:31 
Еще не большое замечание, в положение два когда фаер вол все запрещено пингует весь инет, и все что в принципи пингуется, но по ip адрису.
- Если пинговать по доменному имени то пинг не проходит и ip не определяется..
- Если пытаться зайти на сайт браузером через ip то он так же не заходит..

Может есть какие мысли что еще подправить ?



"nat na FREEBSD 5.1"
Отправлено ZloiJoker , 27-Янв-04 11:23 
Я просто не понимаю вы ни кто нат не настраиваете ,  или вы все фаервол, подымаете в режиме все можно ?
Я просто потерялся подскажите :(

"nat na FREEBSD 5.1"
Отправлено A Clockwork Orange , 27-Янв-04 11:25 
помести все разрешающие правила для внешнего интерфейса после нат