URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67619
[ Назад ]

Исходное сообщение
"Непонятки с ipfw"
Отправлено federal , 17-Июл-06 14:56

Здравствуйте, какие-то непонятки с freebsd 6.1.
Есть 3 внутренних сети, 135.135.13{5,6,7}.1/24.
На инет смотрит интерфейс rl0.
rc.conf
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="rl0"
natd_flags=""
#natd_flags="-f /etc/natd.conf"
Соответственно правила создаются:
00050 divert 8668 ip4 from any to any via rl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
Мне надо, чтобы все эти три локальных сети имели доступ только на порты 21,5190,110,25
Убираю правило 00050,
ставлю (К ПРИМЕРУ) доступ только для своей машины
00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0
Но, ничего не работает, пакеты на эти порты вообще не идут, да они и вообще никуда не идут :)
Причём, какие только я уже правила не вписывал, пока не впишешь
--> divert 8668 ip4 from any to any via rl0 <---
ничего не работает. Пробывал эту строку вообще не удалять, а писать правила
перед ней, всё-равно ничего не работает.
Мне кажется что тут кокраз всё кроется в ipv4, может ошибаюсь.
Объясните пожалуйста в чём дело.
Спасибо.

Содержание

Непонятки с ipfw,butcher, 15:33 , 17-Июл-06
- Непонятки с ipfw,federal, 15:47 , 17-Июл-06
Непонятки с ipfw,RetaL, 18:07 , 17-Июл-06
- Непонятки с ipfw,Hammer, 07:51 , 19-Июл-06
  - Непонятки с ipfw,federal, 10:30 , 19-Июл-06
    - Непонятки с ipfw,RetaL, 14:09 , 19-Июл-06
      - Непонятки с ipfw,Fagor, 14:39 , 19-Июл-06
      - Непонятки с ipfw,federal, 13:06 , 25-Июл-06

Сообщения в этом обсуждении

"Непонятки с ipfw"
Отправлено butcher , 17-Июл-06 15:33

>ставлю (К ПРИМЕРУ) доступ только для своей машины
>00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0
А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например:
add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out xmit rl0
add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in recv rl0
PS. фтп с такими правилами у вас работать не будет.

"Непонятки с ipfw"
Отправлено federal , 17-Июл-06 15:47

>>ставлю (К ПРИМЕРУ) доступ только для своей машины
>>00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0
>
>А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например:
>
>
>add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out
>xmit rl0
>add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in
>recv rl0
>
>PS. фтп с такими правилами у вас работать не будет.

Без 00050 divert 8668 ip4 from any to any via rl0
Пробывал я, всё-равно без строки "00050 divert 8668 ip4 from any to any via rl0" не работает.

"Непонятки с ipfw"
Отправлено RetaL , 17-Июл-06 18:07

Я сделал таким образом:
45000  divert 8668 ip from any to 199.99.199.99 recv isp0
45002  divert 8668 ip from 192.168.1.2 to any out xmit isp0
45102  allow ip from 192.168.1.2 to any
45102  allow ip from any to 192.168.1.2
65535  deny ip from any to any
isp0 - интерфейс на провайдера
199.99.199.99 - внешний IP
192.168.1.2 - моя машинка
и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные порты) out xmit isp0

"Непонятки с ipfw"
Отправлено Hammer , 19-Июл-06 07:51

45002 divert 8668 ip from 192.168.1.2 to any out xmit isp0

>и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные
>порты) out xmit isp0
Не будет работать тк порты можно добавить только к tcp или udp, а утебя IP те "all".

"Непонятки с ipfw"
Отправлено federal , 19-Июл-06 10:30

Дык кто-нибудь может подсказать в чём дело? и как ситуацию исправить?

"Непонятки с ipfw"
Отправлено RetaL , 19-Июл-06 14:09

Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
Но все равно, это лечится, только что на своем серваке провернул:
45000 divert 8668 ip from any to 199.99.199.99 recv isp0
45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit isp0
45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit isp0
45081 allow tcp from 192.168.4.24 to any dst-port 25
45081 allow tcp from any 25 to 192.168.4.24
45081 allow tcp from any 20,21 to 192.168.4.24
45081 allow tcp from 192.168.4.24 to any dst-port 20,21
И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

"Непонятки с ipfw"
Отправлено Fagor , 19-Июл-06 14:39

>Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
>Но все равно, это лечится, только что на своем серваке провернул:
>
>45000 divert 8668 ip from any to 199.99.199.99 recv isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit
>isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit
>isp0
>45081 allow tcp from 192.168.4.24 to any dst-port 25
>45081 allow tcp from any 25 to 192.168.4.24
>45081 allow tcp from any 20,21 to 192.168.4.24
>45081 allow tcp from 192.168.4.24 to any dst-port 20,21
>
>И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

что-то ветка на флейм уже смахивает, если что можно в аську 63902229

"Непонятки с ipfw"
Отправлено federal , 25-Июл-06 13:06

>Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
>Но все равно, это лечится, только что на своем серваке провернул:
>
>45000 divert 8668 ip from any to 199.99.199.99 recv isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit
>isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit
>isp0
>45081 allow tcp from 192.168.4.24 to any dst-port 25
>45081 allow tcp from any 25 to 192.168.4.24
>45081 allow tcp from any 20,21 to 192.168.4.24
>45081 allow tcp from 192.168.4.24 to any dst-port 20,21
>
>И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

Всем большое спасибо за помощь, всё настроил :)