URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68608
[ Назад ]

Исходное сообщение
"ipfw nat и udp."

Отправлено Jekas , 31-Авг-06 15:34 
ipfw add 50 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
ipfw add 100 allow udp from me to any dst-port 53 keep-state
ipfw add 110 allow tcp from any to me dst-port 8080 via xl0
ipfw add 120 allow ip from any to any via lo0
ipfw add 200 deny ip from any to 127.0.0.0/8
ipfw add 300 deny ip from 127.0.0.0/8 to any
ipfw add 500 deny ip from <my_real_net> to any in via xl0
ipfw add 600 deny ip from any to 10.0.0.0/8 via rl0
ipfw add 700 deny ip from any to 172.16.0.0/12 via rl0
ipfw add 800 deny ip from any to 192.168.0.0/16 via rl0
ipfw add 900 deny ip from any to 0.0.0.0/8 via rl0
ipfw add 1000 deny ip from any to 169.254.0.0/16 via rl0
ipfw add 1100 deny ip from any to 192.0.2.0/24 via rl0
ipfw add 1200 deny ip from any to 224.0.0.0/4 via rl0
ipfw add 1300 deny ip from any to 240.0.0.0/4 via rl0
ipfw add 1310 divert 8668 ip from <my_private_net> to any out via rl0
ipfw add 1380 divert 8668 ip from any to <my_real_ip> in via rl0
ipfw add 1400 deny ip from 10.0.0.0/8 to any via rl0
ipfw add 1500 deny ip from 172.16.0.0/12 to any via rl0
ipfw add 1600 deny ip from 192.168.0.0/16 to any via rl0
ipfw add 1700 deny ip from 0.0.0.0/8 to any via rl0
ipfw add 1800 deny ip from 169.254.0.0/16 to any via rl0
ipfw add 1900 deny ip from 192.0.2.0/24 to any via rl0
ipfw add 2000 deny ip from 224.0.0.0/4 to any via rl0
ipfw add 2100 deny ip from 240.0.0.0/4 to any via rl0
ipfw add 2200 allow tcp from any to any established
ipfw add 2300 allow ip from any to any frag
ipfw add 2900 deny  tcp from any to any in via rl0 setup
ipfw add 3000 allow tcp from any to any setup
ipfw add 65535 deny ip from any to any


my_real_net - моя реальная сеть
my_private_net - моя внутрюнняя сеть
my_real_ip - реальный ip который стоит на этой машине.

Это шаблон из rc.firewall тип simple. Проблема в том что не проходят DNS запросы...вроде в нат заварачивается весь ip не могу понять где рубится UDP по 53 порту...


Содержание

Сообщения в этом обсуждении
"ipfw nat и udp."
Отправлено Jekas , 01-Сен-06 07:30 

После 1380 правила поставил allow ip from any to any после чего стали пробрасываться DNS запросы. Тогда включил лог на это правило и увидел лчто нужно добавить 4 правила...3 ясны...а вот 4 не поддается ни какой логике..
1381 allow udp from <my_private_net> to any dst-port 53 in via xl0
1382 allow udp from <my_real_ip> to any dst-port 53 out via rl0
1383 allow udp from any 53 to <my_private_net> in via rl0
1384 allow udp from any 53 to <my_private_net> out via xl0

xl0 - внутренний интерфейс
rl0 - внешний интерфейс

не понятно правило 1383 разрешить UDP от всех по 53 порту на внутреннюю сеть через внешний интерфейс...причем это входящие пакеты относительно внешнего интерфейса. Как такое может быть, ведь запросы натятся?