URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82579
[ Назад ]

Исходное сообщение
"Помогите разобраться с ipfw и именами NetBIOS"

Отправлено Diverse , 25-Окт-08 14:20 
Вобщем такая вот ситуация:
Настроил шлюз на FreeBSD 7.0
на нем крутится NAT+ipfw+mpd5+squid+dhcpd+named(кеширующий) etc (apache, lightsquid, freeradius начал поднимать)

ipfw:
fwcmd="/sbin/ipfw"
$fwcmd -f flush
   # смотрит в сетку с нетом
        eint="rl0"
        eip="192.168.1.200"
   # локалка
        iip="10.10.10.1"
        iint="rl1"
   # сюда воткнул точку доступа
        wint="rl2"
        wip="192.168.128.1"

        n1="10.10.10.0"
   # mpd5 отдает ip из этой подсети
        vpn="192.168.127.0"

        wls="192.168.128.0"

        # pass all through loopback device
        ${fwcmd} add pass all from any to any via lo0

        # deny other lo0
        ${fwcmd} add deny all from any to 127.0.0.0/8
        ${fwcmd} add deny all from 127.0.0.0/8 to any

        # anti-hack from outside
        ${fwcmd} add deny ip from me to any in recv ${eint}

        # deny netbios
#        ${fwcmd} add deny ip from any 137-139 to any
#        ${fwcmd} add deny ip from any to any 137-139
поидее не запрещено...

        # SSH for localhost allow
        ${fwcmd} add allow tcp from me 22 to any
        ${fwcmd} add allow tcp from any to me 22

        # DNS transfers to world for WLS clients
        ${fwcmd} add allow udp from me 53 to any via ${wint}
        ${fwcmd} add allow udp from any to me 53 via ${wint}

        # DNS, NTP, SNMPx2, DNSs
        ${fwcmd} add allow udp from me to any 53,123,161
        ${fwcmd} add allow udp from any 53,123,161 to me

        ${fwcmd} add allow tcp from me 1723 to any keep-state
        ${fwcmd} add allow tcp from ${wls}/24 to ${wip} 1723 via ${wint}
        ${fwcmd} add allow gre from any to any

        ${fwcmd} add allow all from ${vpn}/24 to ${n1}/24
        ${fwcmd} add allow all from ${n1}/24 to ${vpn}/24

        ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${n1}/24 to any http via ${iint} #keep-s
        ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${vpn}/24 to any http

        ${fwcmd} add allow tcp from me to any 20,21,80,443 keep-state
        ${fwcmd} add allow tcp from me to any 49151-65535 keep-state

        ${fwcmd} nat 123 config ip ${eip}
        ${fwcmd} add nat 123 ip from ${vpn}/24 to not ${n1}/24
        ${fwcmd} add nat 123 ip from ${n1}/24 to any
        ${fwcmd} add nat 123 ip from any to ${eip} via ${eint}

        ${fwcmd} add deny icmp from any to any frag
        ${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,10,11,30

        ${fwcmd} add allow tcp from any to any established
        ${fwcmd} add deny log logamount 3000 all from any to any

имеется 3 интерфейса. все описал выше...

mpd5 слушает на всех интерфейсах
при подключении через rl1 (внутнинняя локалка) или VPN через WLS доступ в внешнюю сетку к компам есть, но только по ip, а хотелось бы чтобы и NetBIOS работал тоже.

log/security

Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in vi
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in vi
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:29:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:31:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:32:21 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:33:39 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:35:36 inet kernel: ipfw: 3000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via rl1
Oct 25 13:35:38 inet last message repeated 2 times
Oct 25 13:35:44 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:37:49 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:39:54 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:46:09 inet last message repeated 3 times
Oct 25 13:46:55 inet kernel: ipfw: 3000 Deny UDP 192.168.1.50:68 255.255.255.255:67 in vi
Oct 25 13:47:00 inet kernel: ipfw: 3000 Deny UDP 192.168.1.50:68 255.255.255.255:67 in vi
Oct 25 13:48:14 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:48:30 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:68 255.255.255.255:67 in via
Oct 25 13:48:30 inet last message repeated 2 times
Oct 25 13:48:30 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:48:32 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:68 255.255.255.255:67 in via
Oct 25 13:48:32 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:50:19 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:52:24 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:52:43 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:54:02 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:54:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:56:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0

только такое
может кто знает как разрешить хождение NetBIOS в данном случае



Содержание

Сообщения в этом обсуждении
"Помогите разобраться с ipfw и именами NetBIOS"
Отправлено Square , 25-Окт-08 14:41 
>Вобщем такая вот ситуация:
>log/security
>
>Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in
>vi
>только такое
>может кто знает как разрешить хождение NetBIOS в данном случае

включите логирование и посмотрите по какому правилу проходят необходимые пакеты


"Помогите разобраться с ipfw и именами NetBIOS"
Отправлено Diverse , 27-Окт-08 09:49 
>>Вобщем такая вот ситуация:
>>log/security
>>
>>Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in
>>vi
>>только такое
>>может кто знает как разрешить хождение NetBIOS в данном случае
>
>включите логирование и посмотрите по какому правилу проходят необходимые пакеты

${fwcmd} add deny log logamount 3000 all from any to any

а это не логирование разве?
но в логах нет ничего кроме того что я запостил


"Помогите разобраться с ipfw и именами NetBIOS"
Отправлено A Clockwork Orange , 27-Окт-08 10:19 
>[оверквотинг удален]
>vi
>Oct 25 13:54:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>Oct 25 13:56:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>
>только такое
>может кто знает как разрешить хождение NetBIOS в данном случае

http://www.texnet.ru/info/i003.htm
Основной недостаток NetBEUI — он не поддерживает маршрутизацию.

Пропиши в днс и будешь обращаться по именам


"Помогите разобраться с ipfw и именами NetBIOS"
Отправлено Diverse , 27-Окт-08 10:26 
>[оверквотинг удален]
>>Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>>via rl0
>>
>>только такое
>>может кто знает как разрешить хождение NetBIOS в данном случае
>
>http://www.texnet.ru/info/i003.htm
>Основной недостаток NetBEUI — он не поддерживает маршрутизацию.
>
>Пропиши в днс и будешь обращаться по именам

а есть примерчик? это мне все хосты в локалке нужно прописать?