URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73208
[ Назад ]

Исходное сообщение
"Проблема с выходом из сети наружу"

Отправлено Евгений , 29-Мрт-07 18:54 
День добрый!
Стоит шлюз FreeBSD 6.2-STABLE
две сетевые локаль-мир
запущены НАТ, фаерволл, сквид, мпд.
Проблема заключается в том что пользователи из сети не могут ни пролезть терминалом в и-нет, ни забраться на ФТП, ни даже пропинговать мир.

конфиг НАТ

same_ports      yes
use_sockets     yes
unregistered_only       yes
interface       rl0
port            8668

фаерволл

[Ss][Ii][Mm][Pp][Ll][Ee])
        oif="rl0"
        onet="xxx.xxx.xxx.xxx" шлюз по-умолчанию
        omask="255.255.255.252"
        oip="xxx.xxx.xxx.xxx" мой реальный IP

        iif="vr0"
        inet="192.168.0.0"
        imask="255.255.255.0"
        iip="192.168.0.7"

        setup_loopback

        ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n "${natd_interface}" ]; then
#                ${fwcmd} add divert natd all from 192.168.0.0/24 to any out xmit rl0 recv vr0
#                ${fwcmd} add divert natd ip from any to xxx.xxx.xxx.xxx in recv ${natd_interface}                                        мой реальный IP
#               ${fwcmd} add divert natd all from not 192.168.0.0/24 to xxx.xxx.xxx.xxx recv rl0                                                                мой реальный IP  
        ${fwcmd} add divert natd 192.168.0.100 to not 192.168.0.0/24 out xmit rl0
        ${fwcmd} add divert natd from not 192.168.0.0/24 to xxx.xxx.xxx.xxx in recv rl0
                                                            мой реальный IP
                fi
                ;;
        esac

        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

        ${fwcmd} add pass tcp from any to any established

        ${fwcmd} add pass all from any to any frag

        ${fwcmd} add pass tcp from any to ${oip} 22 setup

        ${fwcmd} add pass tcp from any to ${oip} 25 setup

        ${fwcmd} add pass tcp from any to ${oip} 53 setup
        ${fwcmd} add pass udp from any to ${oip} 53
        ${fwcmd} add pass udp from ${oip} 53 to any

        ${fwcmd} add pass tcp from any to ${oip} 80 setup
        ${fwcmd} add pass tcp from any to ${oip} 110 setup
        ${fwcmd} add pass tcp from any to ${oip} 3389 setup
        ${fwcmd} add pass tcp from any to ${oip} 3000 setup

        ${fwcmd} add pass icmp from any to any icmptypes 0,8,11

        ${fwcmd} add allow tcp from any to me 1723
        ${fwcmd} add allow gre from any to any

        ${fwcmd} add deny log tcp from any to any in via ${oif} setup

        ${fwcmd} add pass tcp from any to any setup

        ${fwcmd} add pass udp from ${oip} to any 53 keep-state

        ${fwcmd} add pass udp from ${oip} to any 123 keep-state
        ${fwcmd} add allow all from any to any

мучаюсь уже с неделю... подскажите кто-нибудь...


Содержание

Сообщения в этом обсуждении
"Проблема с выходом из сети наружу"
Отправлено vvvua , 29-Мрт-07 21:48 
a forward включен?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 30-Мрт-07 10:10 
>a forward включен?


options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=15
options         IPFILTER
options         IPFILTER_LOG
options         IPSTEALTH
options         DUMMYNET
options         TCP_DROP_SYNFIN
options         SC_DISABLE_REBOOT
options         IPDIVERT
options         VESA

похоже что да )))


"Проблема с выходом из сети наружу"
Отправлено nimb , 30-Мрт-07 12:05 
а как насчет gateway_enable в /etc/rc.conf?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 30-Мрт-07 13:55 
>а как насчет gateway_enable в /etc/rc.conf?

ну вы совсем обижаете

keymap="ua.koi8-u.shift.alt"
usbd_enable="YES"
defaultrouter="62.64.114.157"
hostname="radioservice.kiev.ua"

ifconfig_rl0="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig_vr0="inet 192.168.0.7 netmask 255.255.255.0"
firewall_enable="YES"
firewall_type="SIMPLE"
tcp_drop_synfin="YES"
tcp_extencions="NO"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

gateway_enable="YES"
sshd_enable="YES"
named_enable="YES"
kern_securelevel_enable="YES"
kern_securelevel="2"
sever="logo"
sendmail_enable="NONE"



"Проблема с выходом из сети наружу"
Отправлено suslic , 30-Мрт-07 17:17 
>>а как насчет gateway_enable в /etc/rc.conf?
>
>ну вы совсем обижаете
>
>keymap="ua.koi8-u.shift.alt"
>usbd_enable="YES"
>defaultrouter="62.64.114.157"
>hostname="radioservice.kiev.ua"
>
>ifconfig_rl0="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
>ifconfig_vr0="inet 192.168.0.7 netmask 255.255.255.0"
>firewall_enable="YES"
>firewall_type="SIMPLE"
>tcp_drop_synfin="YES"
>tcp_extencions="NO"
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
>
>natd_enable="YES"
>natd_interface="rl0"
>natd_flags="-f /etc/natd.conf"
>
>gateway_enable="YES"
>sshd_enable="YES"
>named_enable="YES"
>kern_securelevel_enable="YES"
>kern_securelevel="2"
>sever="logo"
>sendmail_enable="NONE"

/proc/sys/net/ipv4/ip_forward = 1 ?


"Проблема с выходом из сети наружу"
Отправлено Giro , 30-Мрт-07 18:02 
А что говорит ipfw show stat (или ipfw stat show)?
В конце пятницы не могу понять что, но меня настораживает в ipfw правилах насчет NAT.


"Проблема с выходом из сети наружу"
Отправлено Евгений , 31-Мрт-07 10:42 
>А что говорит ipfw show stat (или ipfw stat show)?
>В конце пятницы не могу понять что, но меня настораживает в ipfw
>правилах насчет NAT.

radioservice# ipfw show stat
ipfw: invalid rule number: stat
radioservice# ipfw stat show
ipfw: bad command `stat'



"Проблема с выходом из сети наружу"
Отправлено Giro , 31-Мрт-07 12:49 
>radioservice# ipfw show stat
>ipfw: invalid rule number: stat
>radioservice# ipfw stat show
>ipfw: bad command `stat'

Ну да :-) Предупреждал что пятница...

Надо ipfw show


Делать flush ничего не дает, потому что таким образом вы и НАТ правила тоже удаляете.


"Проблема с выходом из сети наружу"
Отправлено mmm , 30-Мрт-07 18:33 
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
IMHO Вы таким образом закрыли прохождение ping пакетов.

"Проблема с выходом из сети наружу"
Отправлено mmm , 30-Мрт-07 18:37 
>firewall_type="SIMPLE"
а если попробовать OPEN проблема исчезает?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 31-Мрт-07 04:21 
>>firewall_type="SIMPLE"
>а если попробовать OPEN проблема исчезает?

проблем не исчезает даже при  ipfw flush


"Проблема с выходом из сети наружу"
Отправлено Vanya , 31-Мрт-07 15:17 
>>>firewall_type="SIMPLE"
>>а если попробовать OPEN проблема исчезает?
>
>проблем не исчезает даже при  ipfw flush

Попробуйте все таки поставить в rc.conf
firewall_type="OPEN"

Потому как ifpw flush удаляет все правила, даже те которые перенаправляют пакеты на nat.


"Проблема с выходом из сети наружу"
Отправлено Евгений , 01-Апр-07 17:42 
>>>>firewall_type="SIMPLE"
>>>а если попробовать OPEN проблема исчезает?
>>
>>проблем не исчезает даже при  ipfw flush
>
>Попробуйте все таки поставить в rc.conf
>firewall_type="OPEN"
>
>Потому как ifpw flush удаляет все правила, даже те которые перенаправляют пакеты
>на nat.


спасибо, это действительно помогло.... теперь буду потихоньку добавлять в секцию OPEN правила, для нормальной работы экрана.. ещё раз большое спасибо!


"Проблема с выходом из сети наружу"
Отправлено Giro , 31-Мрт-07 13:01 
${fwcmd} add divert natd all from 192.168.0.0/24 to not 192.168.0.0/24 out via rl0
${fwcmd} add divert natd all from not 192.168.0.0/24 to xxx.xxx.xxx.xxx in via rl0

Вот так попробуй, и поставь это самым первым правилом до всех остальных для начала.
Потом ipfw show смотришь куда сколько пакетов идет.
Если все ок - добавляй остальные правила.