Помогите пожалуй разобратся с ipfw.
Я не так давно работаю на freebsd поэтому еще новичек.
установил саму freebsd + squid(прозрачный) + samba + sarg
время пришло настраивать ipfw.
Почитал много статей на эту тему но так и не въехал.

Суть проблемы вот в чем.

Раньше ядро компилилось с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT
и небыло никаких проблем.
после того как я перекомпилировал ядро без этой опции начались всякие гадости.

моя система
192.168.0.1 сервер freebsd 6.1 и одновременно шлюз
192.168.0.0/24 вся локальная сеть
vr0 интерфейс смотрящий во внутреннюю сеть
rl0 интерфейс смотрящий на внешнюю сеть

мои действия.
vi /etc/rc.conf "вписываю firewall_type="OPEN" "
vi /etc/rc.firewall "редактирую следующее"

[Oo][Pp][Ee][Nn])
        setup_loopback
       ${fwcmd} add pass all from any to any icmp
       ${fwcmd} add pass all from any to any 22 (тем самым хотел разрешить себе подключится к серверу через 22 порт)
       ${fwcmd} add pass all from any to any 139
       ${fwcmd} add pass all from any to 5190 (тем самым хотел пользователям сети разрешить использовать аську)
       ${fwcmd} add pass all from any to 3128
       ${fwcmd} add pass all from any to 80
#      ${fwcmd} add 65000 pass all from any to any
        ;;

Этим самым я решил убрать правило 65000 разрешающее всем и вся и разрешить доступ из сети и в сеть по портам 22; 139; 5190; 3128; 80.

Но получилось вот что.
доступ к freebsd я получаю посредством putty которая работает на 22 порту.
в итоге нет ни доступа к серверу, ни доступа к интернету ни с одного компа.

Если не сложно подскажите какими правилами я могу разрешить пользователям сети выход в интернет для просмотра http и работы icq.

Не судите строго, это мой первый опыт написания правил в ipfw :)

• помогите разобратся с ipfw. ткните пальцем.,Kos, 15:34 , 25-Дек-06
  • помогите разобратся с ipfw. ткните пальцем.,andrey314, 15:42 , 25-Дек-06
    • помогите разобратся с ipfw. ткните пальцем.,mmm, 16:31 , 25-Дек-06
      • помогите разобратся с ipfw. ткните пальцем.,andrey314, 16:56 , 25-Дек-06
        • помогите разобратся с ipfw. ткните пальцем.,Vort, 19:15 , 25-Дек-06

Особо не вчитывался, но первым делом:
у Вас разрешены только исходящие соединения на указанные порты, а входящие например с порта 80 по какому правилу идти будут?

А где правила для локалки?

Нужны правила для входящего и исходящего трафика на каждом интерфейсе, через который этот трафик идет.

Поставьте ${fwcmd} add 65000 deny log all from any to any
и посмотрите что блокируется в security.log

>Особо не вчитывался, но первым делом:
>у Вас разрешены только исходящие соединения на указанные порты, а входящие например
>с порта 80 по какому правилу идти будут?
>
>А где правила для локалки?
>
>Нужны правила для входящего и исходящего трафика на каждом интерфейсе, через который
>этот трафик идет.
>
>Поставьте ${fwcmd} add 65000 deny log all from any to any
>и посмотрите что блокируется в security.log

Мда. Я понял что я нефига не понял в ipfw.

если кому не сложно, скинте рабочие файлы конфигурации для шлюза. на почту hellmrak@yandex.ru буду примного благодарен.
Или дайте ссылочки на хорошие статьи. Буду не менее признателен. Заранее спасибо всем за любую помощь.

>Мда. Я понял что я нефига не понял в ipfw.
>
>если кому не сложно, скинте рабочие файлы конфигурации для шлюза. на почту
>hellmrak@yandex.ru буду примного благодарен.
>Или дайте ссылочки на хорошие статьи. Буду не менее признателен. Заранее спасибо
>всем за любую помощь.
Вы извините сисадмин или мальчик-письмоносец? Что за подход? Поставил систему, не разобрался в защите, завтра прокачают через Ваш "шлюз" 2-3 Гб спама, пойдем жаловатся "директору" интернета на злых хакеров. 8(. Сейчас полно книг по Фре.
хоть эту попробуйте:
http://www.knizhek.net/2006/10/30/freebsd_podrobnoe_rukovods...
ИМХО такие как Вы позорят профессию.
Кстати "рабочие файлы конфигурации" есть в системе. Учиться надо НЕ на рабочих серверах.

>>Мда. Я понял что я нефига не понял в ipfw.
>>
>>если кому не сложно, скинте рабочие файлы конфигурации для шлюза. на почту
>>hellmrak@yandex.ru буду примного благодарен.
>>Или дайте ссылочки на хорошие статьи. Буду не менее признателен. Заранее спасибо
>>всем за любую помощь.
>Вы извините сисадмин или мальчик-письмоносец? Что за подход? Поставил систему, не разобрался
>в защите, завтра прокачают через Ваш "шлюз" 2-3 Гб спама, пойдем
>жаловатся "директору" интернета на злых хакеров. 8(. Сейчас полно книг по
>Фре.
>хоть эту попробуйте:
>http://www.knizhek.net/2006/10/30/freebsd_podrobnoe_rukovods...
>ИМХО такие как Вы позорят профессию.
>Кстати "рабочие файлы конфигурации" есть в системе. Учиться надо НЕ на рабочих
>серверах.

что то не вижу что бы я где то указывал что я сисадмин.
и кто сказал что я учусь на рабочем сервере ?
купите бинокль раз зрение вас подводит. Я осваиваю ФРИ для себя.
И если вам нечего написать кроме той лабуды что вы написали, то поберегите клавиши, не пишите вообще ничего.

Из всего мусора что находится в инете очень сложно выбрать действительно нужные статьи, поэтому я и прошу помощи, а делать из себя "умного" не стоит.

Мне верно указали во втором посте мои ошибки, я их увидел и уже исправил. Почти поднял нормально функционирующий фаерволл.

А за ссылку на книгу спасибо.

Я бы на твоем месте сначало прикинул на листе бумаги что нужно блокировать а что нужно разрешить.
после чего начал бы с простейших правил.
например для доступа через putty я думаю будет достаточно вот этих правил.

#!/bin/sh
ipfw="/sbin/ipfw -q"

${ipfw} add 123 allow tcp from any to me ssh
${ipfw} add 124 allow tcp from me ssh to any

Хотя я могу и ошибатся, для меня ipfw тоже пока не освоеная часть :)
самое главное в этом деле уметь составлять правила и знать чего сам хочешь :)