URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73208
[ Назад ]

Исходное сообщение
"Проблема с выходом из сети наружу"
Отправлено Евгений , 29-Мрт-07 18:54

День добрый!
Стоит шлюз FreeBSD 6.2-STABLE
две сетевые локаль-мир
запущены НАТ, фаерволл, сквид, мпд.
Проблема заключается в том что пользователи из сети не могут ни пролезть терминалом в и-нет, ни забраться на ФТП, ни даже пропинговать мир.
конфиг НАТ
same_ports      yes
use_sockets     yes
unregistered_only       yes
interface       rl0
port            8668
фаерволл
[Ss][Ii][Mm][Pp][Ll][Ee])
        oif="rl0"
        onet="xxx.xxx.xxx.xxx" шлюз по-умолчанию
        omask="255.255.255.252"
        oip="xxx.xxx.xxx.xxx" мой реальный IP
        iif="vr0"
        inet="192.168.0.0"
        imask="255.255.255.0"
        iip="192.168.0.7"
        setup_loopback
        ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n "${natd_interface}" ]; then
#                ${fwcmd} add divert natd all from 192.168.0.0/24 to any out xmit rl0 recv vr0
#                ${fwcmd} add divert natd ip from any to xxx.xxx.xxx.xxx in recv ${natd_interface}                                        мой реальный IP
#               ${fwcmd} add divert natd all from not 192.168.0.0/24 to xxx.xxx.xxx.xxx recv rl0                                                                мой реальный IP
        ${fwcmd} add divert natd 192.168.0.100 to not 192.168.0.0/24 out xmit rl0
        ${fwcmd} add divert natd from not 192.168.0.0/24 to xxx.xxx.xxx.xxx in recv rl0
                                                            мой реальный IP
                fi
                ;;
        esac
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
        ${fwcmd} add pass tcp from any to any established
        ${fwcmd} add pass all from any to any frag
        ${fwcmd} add pass tcp from any to ${oip} 22 setup
        ${fwcmd} add pass tcp from any to ${oip} 25 setup
        ${fwcmd} add pass tcp from any to ${oip} 53 setup
        ${fwcmd} add pass udp from any to ${oip} 53
        ${fwcmd} add pass udp from ${oip} 53 to any
        ${fwcmd} add pass tcp from any to ${oip} 80 setup
        ${fwcmd} add pass tcp from any to ${oip} 110 setup
        ${fwcmd} add pass tcp from any to ${oip} 3389 setup
        ${fwcmd} add pass tcp from any to ${oip} 3000 setup
        ${fwcmd} add pass icmp from any to any icmptypes 0,8,11
        ${fwcmd} add allow tcp from any to me 1723
        ${fwcmd} add allow gre from any to any
        ${fwcmd} add deny log tcp from any to any in via ${oif} setup
        ${fwcmd} add pass tcp from any to any setup
        ${fwcmd} add pass udp from ${oip} to any 53 keep-state
        ${fwcmd} add pass udp from ${oip} to any 123 keep-state
        ${fwcmd} add allow all from any to any
мучаюсь уже с неделю... подскажите кто-нибудь...

Содержание

Проблема с выходом из сети наружу,vvvua, 21:48 , 29-Мрт-07
- Проблема с выходом из сети наружу,Евгений, 10:10 , 30-Мрт-07
  - Проблема с выходом из сети наружу,nimb, 12:05 , 30-Мрт-07
    - Проблема с выходом из сети наружу,Евгений, 13:55 , 30-Мрт-07
      - Проблема с выходом из сети наружу,suslic, 17:17 , 30-Мрт-07
      - Проблема с выходом из сети наружу,Giro, 18:02 , 30-Мрт-07
        
        Проблема с выходом из сети наружу,Евгений, 10:42 , 31-Мрт-07
        
        Проблема с выходом из сети наружу,Giro, 12:49 , 31-Мрт-07
      - Проблема с выходом из сети наружу,mmm, 18:33 , 30-Мрт-07
      - Проблема с выходом из сети наружу,mmm, 18:37 , 30-Мрт-07
        
        Проблема с выходом из сети наружу,Евгений, 04:21 , 31-Мрт-07
        
        Проблема с выходом из сети наружу,Vanya, 15:17 , 31-Мрт-07
        
        Проблема с выходом из сети наружу,Евгений, 17:42 , 01-Апр-07
Проблема с выходом из сети наружу,Giro, 13:01 , 31-Мрт-07

Сообщения в этом обсуждении

"Проблема с выходом из сети наружу"
Отправлено vvvua , 29-Мрт-07 21:48

a forward включен?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 30-Мрт-07 10:10

>a forward включен?

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=15
options         IPFILTER
options         IPFILTER_LOG
options         IPSTEALTH
options         DUMMYNET
options         TCP_DROP_SYNFIN
options         SC_DISABLE_REBOOT
options         IPDIVERT
options         VESA
похоже что да )))

"Проблема с выходом из сети наружу"
Отправлено nimb , 30-Мрт-07 12:05

а как насчет gateway_enable в /etc/rc.conf?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 30-Мрт-07 13:55

>а как насчет gateway_enable в /etc/rc.conf?
ну вы совсем обижаете
keymap="ua.koi8-u.shift.alt"
usbd_enable="YES"
defaultrouter="62.64.114.157"
hostname="radioservice.kiev.ua"
ifconfig_rl0="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig_vr0="inet 192.168.0.7 netmask 255.255.255.0"
firewall_enable="YES"
firewall_type="SIMPLE"
tcp_drop_synfin="YES"
tcp_extencions="NO"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
gateway_enable="YES"
sshd_enable="YES"
named_enable="YES"
kern_securelevel_enable="YES"
kern_securelevel="2"
sever="logo"
sendmail_enable="NONE"

"Проблема с выходом из сети наружу"
Отправлено suslic , 30-Мрт-07 17:17

>>а как насчет gateway_enable в /etc/rc.conf?
>
>ну вы совсем обижаете
>
>keymap="ua.koi8-u.shift.alt"
>usbd_enable="YES"
>defaultrouter="62.64.114.157"
>hostname="radioservice.kiev.ua"
>
>ifconfig_rl0="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
>ifconfig_vr0="inet 192.168.0.7 netmask 255.255.255.0"
>firewall_enable="YES"
>firewall_type="SIMPLE"
>tcp_drop_synfin="YES"
>tcp_extencions="NO"
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
>
>natd_enable="YES"
>natd_interface="rl0"
>natd_flags="-f /etc/natd.conf"
>
>gateway_enable="YES"
>sshd_enable="YES"
>named_enable="YES"
>kern_securelevel_enable="YES"
>kern_securelevel="2"
>sever="logo"
>sendmail_enable="NONE"
/proc/sys/net/ipv4/ip_forward = 1 ?

"Проблема с выходом из сети наружу"
Отправлено Giro , 30-Мрт-07 18:02

А что говорит ipfw show stat (или ipfw stat show)?
В конце пятницы не могу понять что, но меня настораживает в ipfw правилах насчет NAT.

"Проблема с выходом из сети наружу"
Отправлено Евгений , 31-Мрт-07 10:42

>А что говорит ipfw show stat (или ipfw stat show)?
>В конце пятницы не могу понять что, но меня настораживает в ipfw
>правилах насчет NAT.
radioservice# ipfw show stat
ipfw: invalid rule number: stat
radioservice# ipfw stat show
ipfw: bad command `stat'

"Проблема с выходом из сети наружу"
Отправлено Giro , 31-Мрт-07 12:49

>radioservice# ipfw show stat
>ipfw: invalid rule number: stat
>radioservice# ipfw stat show
>ipfw: bad command `stat'
Ну да :-) Предупреждал что пятница...
Надо ipfw show

Делать flush ничего не дает, потому что таким образом вы и НАТ правила тоже удаляете.

"Проблема с выходом из сети наружу"
Отправлено mmm , 30-Мрт-07 18:33

>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
IMHO Вы таким образом закрыли прохождение ping пакетов.

"Проблема с выходом из сети наружу"
Отправлено mmm , 30-Мрт-07 18:37

>firewall_type="SIMPLE"
а если попробовать OPEN проблема исчезает?

"Проблема с выходом из сети наружу"
Отправлено Евгений , 31-Мрт-07 04:21

>>firewall_type="SIMPLE"
>а если попробовать OPEN проблема исчезает?
проблем не исчезает даже при ipfw flush

"Проблема с выходом из сети наружу"
Отправлено Vanya , 31-Мрт-07 15:17

>>>firewall_type="SIMPLE"
>>а если попробовать OPEN проблема исчезает?
>
>проблем не исчезает даже при ipfw flush
Попробуйте все таки поставить в rc.conf
firewall_type="OPEN"
Потому как ifpw flush удаляет все правила, даже те которые перенаправляют пакеты на nat.

"Проблема с выходом из сети наружу"
Отправлено Евгений , 01-Апр-07 17:42

>>>>firewall_type="SIMPLE"
>>>а если попробовать OPEN проблема исчезает?
>>
>>проблем не исчезает даже при ipfw flush
>
>Попробуйте все таки поставить в rc.conf
>firewall_type="OPEN"
>
>Потому как ifpw flush удаляет все правила, даже те которые перенаправляют пакеты
>на nat.

спасибо, это действительно помогло.... теперь буду потихоньку добавлять в секцию OPEN правила, для нормальной работы экрана.. ещё раз большое спасибо!

"Проблема с выходом из сети наружу"
Отправлено Giro , 31-Мрт-07 13:01

${fwcmd} add divert natd all from 192.168.0.0/24 to not 192.168.0.0/24 out via rl0
${fwcmd} add divert natd all from not 192.168.0.0/24 to xxx.xxx.xxx.xxx in via rl0
Вот так попробуй, и поставь это самым первым правилом до всех остальных для начала.
Потом ipfw show смотришь куда сколько пакетов идет.
Если все ок - добавляй остальные правила.