URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70609
[ Назад ]

Исходное сообщение
"Как заставить (не)работать traceroute ???"

Отправлено Tuxper , 29-Ноя-06 15:50 
Вот мой конф файрволла
00007 deny log logamount 10 ip from any to me dst-port 25 via tun0
00007 deny log logamount 10 ip from any to me dst-port 25 via rl0
00008 deny log logamount 10 ip from any to me dst-port 901 in via tun0
00008 deny log logamount 10 ip from any to me dst-port 901 in via rl0
00009 deny log logamount 10 ip from any to me dst-port 953 in via rl0
00009 deny log logamount 10 ip from any to me dst-port 953 in via tun0
00010 deny log logamount 10 ip from any to me dst-port 80 in via rl0
00010 deny log logamount 10 ip from any to me dst-port 80 in via tun0
00011 deny log logamount 10 ip from any to me dst-port 3306 in via tun0
00011 deny log logamount 10 ip from any to me dst-port 3306 in via rl0
00012 deny log logamount 10 ip from any to me dst-port 67 in via tun0
00012 deny log logamount 10 ip from any to me dst-port 67 in via rl0
00013 deny log logamount 10 ip from any to me dst-port 21 in via rl0
00013 deny log logamount 10 ip from any to me dst-port 21 in via tun0
00014 deny log logamount 10 ip from any to me dst-port 22 in via tun0
00014 deny log logamount 10 ip from any to me dst-port 22 in via rl0
00015 deny log logamount 10 ip from any to any dst-port 135-139 in via rl0
00015 deny log logamount 10 ip from any to any dst-port 135-139 in via tun0
00016 deny log logamount 10 ip from any to me dst-port 123 in via tun0
00016 deny log logamount 10 ip from any to me dst-port 123 in via rl0
00017 deny log logamount 10 ip from any to me dst-port 514 in via rl0
00017 deny log logamount 10 ip from any to me dst-port 514 in via tun0
00018 deny log logamount 10 ip from any to me in via rl0 frag
00018 deny log logamount 10 ip from any to me in via tun0 frag
00019 deny log logamount 10 tcp from any to me in via rl0 tcpflags syn,fin
00019 deny log logamount 10 tcp from any to me in via tun0 tcpflags syn,fin
00020 deny log logamount 10 tcp from any to me in via rl0 tcpflags syn,fin,psh,u
rg
00020 deny log logamount 10 tcp from any to me in via tun0 tcpflags syn,fin,psh,
urg
00021 deny log logamount 10 tcp from any to me in via rl0 tcpflags fin,psh,urg
00021 deny log logamount 10 tcp from any to me in via tun0 tcpflags fin,psh,urg
00023 deny log logamount 10 tcp from any to me in via rl0 tcpflags urg
00023 deny log logamount 10 tcp from any to me in via tun0 tcpflags urg
00024 deny log logamount 10 ip from 192.168.0.0/24 to any via rl0
00025 deny log logamount 10 ip from 192.168.0.0/24 to 192.168.0.0/24 via tun0
00025 deny log logamount 10 ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
00080 fwd 192.168.0.1,25 tcp from 192.168.0.0/24 to any dst-port 25 via tun0
00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
00095 check-state
00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
00110 divert 8668 ip from any to me in recv tun0
00170 allow ip from 192.168.0.0/24 to any out via tun0 keep-state
00180 allow ip from me to any keep-state
00190 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
00191 allow ip from 192.168.0.0/24 to any keep-state
65000 deny log logamount 10 ip from any to any
65535 deny ip from any to any

не работает трасировка, если включить правило 00098 allow ip from any to any keep-state
то трасировка работает...
но как заставить работать без этого правила...


Содержание

Сообщения в этом обсуждении
"Как заставить (не)работать traceroute ???"
Отправлено Nimdar , 29-Ноя-06 15:54 
ipfw add allow icmp from any to any

"Как заставить (не)работать traceroute ???"
Отправлено wentoir , 29-Ноя-06 16:24 
>Вот мой конф файрволла
>не работает трасировка, если включить правило 00098 allow ip from any to
>any keep-state
>то трасировка работает...
>но как заставить работать без этого правила...

# Allow TRACEROUTE
${fwcmd} add pass udp from any to me 33434-33625 keep-state


"Как заставить (не)работать traceroute ???"
Отправлено PavelR , 29-Ноя-06 16:39 
парни, всякую херь пишете, честно...

там у него диверты стоят, а вы _до_ _них_  пропускать какие-то пакеты собираетесь...


"Как заставить (не)работать traceroute ???"
Отправлено Nimdar , 29-Ноя-06 17:37 
Приведены общие примеры, КАК разрешить traceroute, умник.
А куда он их воткнет - это уж ему решать.

"Как заставить (не)работать traceroute ???"
Отправлено PavelR , 29-Ноя-06 19:25 
>Приведены общие примеры, КАК разрешить traceroute, умник.
>А куда он их воткнет - это уж ему решать.

Как и куда втыкать - тоже нужно знать. Общие примеры на уровне ${ipfw} add 1000 allow all from any to any  - это не примеры...

в примере надо конкретно подчеркнуть что есть divert, и что от этого что-то да зависит..

Хотя конечно ответ один - читайте маны и статьи,  думайте над прочитанным, пробуйте и анализируйте сделанное.
Но если не стремиться к получению знаний а к скорейшему достижению "результата" - тогда да,  ${ipfw} add allow all from any to any

Вывод по теме, автору - подумай над тем как проходят пакеты через нат. Входящие надо фильтровать после ната, исходящие - до.



"Как заставить (не)работать traceroute ???"
Отправлено Nimdar , 29-Ноя-06 19:41 
>в примере надо конкретно подчеркнуть что есть divert, и что от этого
>что-то да зависит..
Раз человек писал правила - значит знает, что есть divert и что от этого что-то да зависит, логично? ;)

>
>Хотя конечно ответ один - читайте маны и статьи,  думайте над
>прочитанным, пробуйте и анализируйте сделанное.

Ещё раз посмотри мой пост с правилом. Автор, судя по всему не в курсе (или в курсе, но упустил из виду), что кроме tcp и ip можно фильтровать по udp и icmp. Это было просто напоминание, или если угодно намёк - RTFM.

>Но если не стремиться к получению знаний а к скорейшему достижению "результата"
>- тогда да,  ${ipfw} add allow all from any to
>any
Тогда бы я написал правило по всем правилам (извиняюсь за каламбур).


"Как заставить (не)работать traceroute ???"
Отправлено Tuxper , 30-Ноя-06 06:47 
>>в примере надо конкретно подчеркнуть что есть divert, и что от этого
>>что-то да зависит..
>Раз человек писал правила - значит знает, что есть divert и что
>от этого что-то да зависит, логично? ;)
>
>>
>>Хотя конечно ответ один - читайте маны и статьи,  думайте над
>>прочитанным, пробуйте и анализируйте сделанное.
>
>Ещё раз посмотри мой пост с правилом. Автор, судя по всему не
>в курсе (или в курсе, но упустил из виду), что кроме
>tcp и ip можно фильтровать по udp и icmp. Это было
>просто напоминание, или если угодно намёк - RTFM.
>
>>Но если не стремиться к получению знаний а к скорейшему достижению "результата"
>>- тогда да,  ${ipfw} add allow all from any to
>>any
>Тогда бы я написал правило по всем правилам (извиняюсь за каламбур).


Всем спасибо за участие, но у меня задача поставленна так, чтобы можно было трасировку делать из внутренней сети наружу, но нельзя делать трасировку извне ко мне...
т.е. как я понял необходимо пропускать исходящие UDP пакеты и входящие ICMP, но блокировать входящий UDP трафик не заданный явно (DNS, ICQ - явно разрешить) и исходящий ICMP (особенно 30).
Я правильно понимаю?


"Как заставить (не)работать traceroute ???"
Отправлено wentoir , 30-Ноя-06 09:11 
>Всем спасибо за участие, но у меня задача поставленна так, чтобы можно
>было трасировку делать из внутренней сети наружу, но нельзя делать трасировку
>извне ко мне...
>т.е. как я понял необходимо пропускать исходящие UDP пакеты и входящие ICMP,
>но блокировать входящий UDP трафик не заданный явно (DNS, ICQ -
>явно разрешить) и исходящий ICMP (особенно 30).
>Я правильно понимаю?

traceroute может работать используя udp или icmp протокол.
Для udp:
${fwcmd} add pass udp from ${my_network} to any 33434-33625 keep-state

Для icmp (типы 0,3,4,8,11,12):
${fwcmd} add pass icmp from any to any icmptypes 0,3,4,8,11,12