URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 78551
[ Назад ]
Исходное сообщение
"IPFW - пропускает пакеты"
Отправлено Cover_Story , 05-Фев-08 07:36 
Всем доброго!!!
Проблема в следующем! Установил себе FreeBSD 6.3 Переконфигурировал ядро под BRIDGE c опциями BRIDGE и IPFIREWALL в sysctl.conf прописал:

net.inetip.fw.one_pass=0
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=xl0,xl1
net.link.ether.bridge.ipfw=1
После перезапуска закрываю все доступы по ipfw
/sbin/ipfw add deny all from any to any

Но он все равно пропускает всех юзеров в инет в чем может быть проблема?
Помогите пожалуйста

Содержание
Сообщения в этом обсуждении
"IPFW - пропускает пакеты"
Отправлено PavelR , 05-Фев-08 07:58 
>[оверквотинг удален]
>net.inetip.fw.one_pass=0
>net.link.ether.bridge.enable=1
>net.link.ether.bridge.config=xl0,xl1
>net.link.ether.bridge.ipfw=1
>После перезапуска закрываю все доступы по ipfw
>/sbin/ipfw add deny all from any to any
>
>Но он все равно пропускает всех юзеров в инет в чем может
>быть проблема?
>Помогите пожалуйста

Поражает повышенная в последнее время активность пользователей к настройке мостов. При этом не понятно, зачем это им.

Может быть надо net.link.ether.ipfw = 1   ?


"IPFW - пропускает пакеты"
Отправлено Cover_Story , 05-Фев-08 08:17 
На всякий случай попробовал хотя это ничем не помогло, весь трафик все равно работает в обход ipfw. В HandBook'e написано именно так (net.link.ether.bridge.ipfw=1).
"IPFW - пропускает пакеты"
Отправлено rakis , 05-Фев-08 09:31 
>Всем доброго!!!
>Проблема в следующем! Установил себе FreeBSD 6.3 Переконфигурировал ядро под BRIDGE c
>опциями BRIDGE и IPFIREWALL в sysctl.conf прописал:

для начала поясните что хотели сделать? Шлюз в интернет? так для этого ядро пересобирать не надо и BRIDGE туда вставлять тоже абсолютно лишнее.

"IPFW - пропускает пакеты"
Отправлено Cover_Story , 05-Фев-08 12:02 
Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через SQUID плюс работали бы почтовые порты порты до банка для индивидуальных пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!


"IPFW - пропускает пакеты"
Отправлено PavelR , 05-Фев-08 13:17 
>Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через
>SQUID плюс работали бы почтовые порты порты до банка для индивидуальных
>пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!

Выкинь бридж, готовь деньги, закупай пива (для себя) и зови понимающих специалистов для настройки сети (деньги надо готовить для них).

Создание моста АБСОЛЮТНО не согласуется с поставленными задачами.


Хотя стройте, может чего и получится... Хотя врядли. Гы.

"IPFW - пропускает пакеты"
Отправлено Cover_Story , 05-Фев-08 13:25 
Так ведь до этого он стоял на 6.0 и прекрасно работал, а вы говорите не согласуется. Только  я не понял где я ошибся.


"IPFW - пропускает пакеты"
Отправлено rakis , 05-Фев-08 17:04 
>Так ведь до этого он стоял на 6.0 и прекрасно работал

из этого отнюдь не следует что он необходим. Нет, если сделать из внешнего и внутреннего интерфесов бридж, оно тож работать будет. Но решение это мягко говоря через одно место. Сколько себя помню всегда форвардинг между интерфесами включали для этой цели.

Статей по настройке FreeBSD в качестве шлюза не один десяток. На том же opennet'е есть несколько.

P.S. Более того, пересборка ядра с целью запихать туда фаервол совсем не обязательна. Оно и модулем работает вполне себе ничего.

"IPFW - пропускает пакеты"
Отправлено Cover_Story , 06-Фев-08 07:28 
Вопрос решился пересборкой ядра поставил if_bridge!
Просьба к форумчанам давайте решать конкретные вопросы, а не опускаться до ответов типа: "А зачем тебе это надо".


"IPFW - пропускает пакеты"
Отправлено PavelR , 06-Фев-08 08:12 
>Вопрос решился пересборкой ядра поставил if_bridge!
>Просьба к форумчанам давайте решать конкретные вопросы, а не опускаться до ответов
>типа: "А зачем тебе это надо".

чтобы решать конкретные вопросы - нужно чтобы вопросы были конкретными.

Иначе нет понимания, что вы сами понимаете, что делаете. Посмотрите на вопросы, которые задают в форуме. Люди абсолютно _не думают_, что они делают.

"IPFW - пропускает пакеты"
Отправлено rakis , 06-Фев-08 11:15 
>Просьба к форумчанам давайте решать конкретные вопросы,

Использовать бридж между внутренним и внешним интерфейсом - это НЕ правильное решение. Бридж работает на 2-м уровне модели OSI.  Фаервол же, проблему с которым вы решали, работает на 3-м уровне. И  вашем случае это равнозначно установке свитча, в который воткнут и инет и шлюз. В данной конфигурации вы не получите полного контроля над трафиком.

>а не опускаться до ответов типа: "А зачем тебе это надо".

Часто человек сам не понимает чего он хочет. Просто в силу отсутствия опыта. И помогать человеку ловить рыбу там где ее нет, не хочется.

"IPFW - пропускает пакеты"
Отправлено Cover_Story , 06-Фев-08 15:13 
>Использовать бридж между внутренним и внешним интерфейсом - это НЕ правильное решение.
>Бридж работает на 2-м уровне модели OSI.  Фаервол же, проблему
>с которым вы решали, работает на 3-м уровне. И  вашем
>случае это равнозначно установке свитча, в который воткнут и инет и
>шлюз. В данной конфигурации вы не получите полного контроля над трафиком.

В любом случае спасибо за помощь!


"IPFW - пропускает пакеты"
Отправлено Ger , 07-Фев-08 09:22 
>Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через
>SQUID плюс работали бы почтовые порты порты до банка для индивидуальных
>пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!

Зачем здесь бридж не понимаю. По-моему достаточно установить squid и поднять редиректы по определенным портам. Доступ к редиректам разрешить через ipfw только для конкретных людей... Ну и плюc если нужен кому-нибудь аналог ната с авторизацией - socks5