URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1877
[ Назад ]

Исходное сообщение
"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 01:38

Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall
${ipfw} add 100 divert natd all from any to any via [realIP]
в итоге через него стали ходить все, кому не лень
теперь исправил на
${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP]
${ipfw} add 102 divert natd all from any to [realIP] in via [realIP]
Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что я неправильно сделал?

Содержание

Доступ к НАТ,Chosen, 04:35 , 02-Фев-05
- Доступ к НАТ,mayd, 09:19 , 02-Фев-05
  - Доступ к НАТ,Z_M, 11:28 , 02-Фев-05
    - Доступ к НАТ,mayd, 15:25 , 02-Фев-05
- Доступ к НАТ,wanderer, 16:32 , 02-Фев-05
  - Доступ к НАТ,mayd, 16:46 , 02-Фев-05
    - Доступ к НАТ,wanderer, 17:07 , 02-Фев-05
      - Доступ к НАТ,mayd, 17:50 , 02-Фев-05
        
        Доступ к НАТ,mayd, 18:33 , 02-Фев-05
        Доступ к НАТ,wanderer, 13:02 , 03-Фев-05
  - Доступ к НАТ,adc, 19:06 , 02-Фев-05
    - Доступ к НАТ,mayd, 19:29 , 02-Фев-05
      - Доступ к НАТ,adc, 22:11 , 02-Фев-05
        
        Доступ к НАТ,mayd, 10:53 , 03-Фев-05
        
        Доступ к НАТ,adc, 00:03 , 10-Фев-05
        
        Доступ к НАТ,wanderer, 11:34 , 03-Фев-05
        
        Доступ к НАТ,wanderer, 11:36 , 03-Фев-05
        
        Доступ к НАТ,mayd, 12:29 , 03-Фев-05
        
        Доступ к НАТ,mayd, 14:51 , 03-Фев-05
        
        Доступ к НАТ,butcher, 15:00 , 03-Фев-05
        
        Доступ к НАТ,mayd, 16:04 , 04-Фев-05
        
        Доступ к НАТ,мимо проходил, 00:05 , 04-Фев-05
        
        Доступ к НАТ,Аномин, 14:48 , 16-Фев-05

Сообщения в этом обсуждении

"Доступ к НАТ"
Отправлено Chosen , 02-Фев-05 04:35

>Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall
>
>${ipfw} add 100 divert natd all from any to any via [realIP]
>
>в итоге через него стали ходить все, кому не лень
>теперь исправил на
>${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via
>[realIP]
>${ipfw} add 102 divert natd all from any to [realIP] in via
>[realIP]
>
>Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что
>я неправильно сделал?

не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса)

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 09:19

>
>не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса)
>
Пишу в фаерволе
$(ipfw) add 530 deny ip from 192.168.0.0/16 to any in via rl0
$(ipfw) add 540 deny ip from 172.18.12.0/12 to any in via rl0
$(ipfw) add 550 deny ip from 10.0.0.0/8 to any in via rl0
перегружаюсь, проверяю ipfw -d list
все правила есть, этих нет - чертовщина какая-то

"Доступ к НАТ"
Отправлено Z_M , 02-Фев-05 11:28

скобки фигурные поставь !

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 15:25

>скобки фигурные поставь !
Спасибо за подсказку, правила заработали - сам не знаю, как круглые влепил.
Но смотрю trafshow - ничего не изменилось, пытаюсь отрубить кого-то из халявщиков -
${ipfw} add 200 deny all from 217.69.192.135 to [realIP]
перегружаюсь, опять он (217.69.192.135)сидит. Что делать??? Помогите пожайлуста!!!

"Доступ к НАТ"
Отправлено wanderer , 02-Фев-05 16:32

а вот так не прикольней ?
fwcmd="/sbin/ipfw -q"
ip_ext="gate_real_ip"
if_ext="rl0"
localnet="192.168.1.0/24"
internet="not 192.168.1.0/24,gate_real_ip"
${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext}
${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext}

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 16:46

>${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext}
>${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext}
Всё равно где-то пролазят. Может быть через squid - он установлен, но не настроен у меня?

"Доступ к НАТ"
Отправлено wanderer , 02-Фев-05 17:07

покажи что trafshow показывает

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 17:50

gw# trafstat -i rl0
(dc0) gw11 at Feb  2 16:00:01 - Feb  2 17:20:17
Summary: 6938403 data bytes, 9915827 all bytes, 26 records
     From           Port         To            Port  Proto     Data  All
192.168.77.1       1900    239.255.255.250    1900    udp      69678 74718
ads.web.aol.com    http    217.69.213.163     client  tcp      898
ads.web.aol.com    http    [realIP]           client  tcp      38898
[realIP]           3128    61-217-110-65.dyna client  tcp          0
61-217-110-65.dyna client  [realIP]           3128    tcp          0
64.12.25.156       aol     [realIP]           client  tcp      5858
64.12.26.152       aol     [realIP]           client  tcp      5614
sr1.telmos.ru      domain  [realIP]           client  udp      5890
217.69.213.163     netbio  [realIP]           netbio  udp      5028
217.69.220.71      netbio  [realIP]           netbio  udp      3600
217.69.220.72      client  217.69.220.79      netbio  udp      4800 5500
217.69.220.72      client  217.69.220.79      netbio  udp      3450 5382
217.69.220.77      netbio  217.69.220.79      netbio  udp      2850 4446
[realIP]           client  ads.web.aol.com    http    tcp      3013 4357
[realIP]           linx    64.12.25.156       client  tcp      1183 4023
217.69.220.71      netbio  217.69.220.79      netbio  udp      3132 3636
[realIP]           client  sr1.telmos.ru      domain  udp      1799 3199
217.69.220.77      netbio  217.69.220.79      netbio  ud       2649 3013
[realIP]           client  64.12.26.152       aol     tcp       460 2940
212.48.36.117      netbio  212.48.36.127      netbio  udp       2580 2916
212.48.36.126      netbio  212.48.36.127      netbio  udp       2447 2783
217.69.220.67      netbio  217.69.220.79      netbio  udp       2436 2772
217.69.213.162     netbio  217.69.213.175     netbio  udp       2422 2758
212.48.36.114      netbio  212.48.36.127      netbio  udp       2275 2583
192.168.77.2       netbio  192.168.77.7       netbio  udp       2246 2554
sr1.telmos.ru..domain     217.69.213.163..1046       udp
как его отсечь???
${ipfw} add 470 deny all from sr1.telmos.ru to any
не помогает!!!!

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 18:33

>sr1.telmos.ru..domain 217.69.213.163..1046 udp
>как его отсечь???
>${ipfw} add 470 deny all from sr1.telmos.ru to any
>не помогает!!!!
кстати, ipfw -d list показал, что оно не заработало, видимо по IP нужно -
${ipfw} add 470 deny all from [sr1_IP] to any ???

"Доступ к НАТ"
Отправлено wanderer , 03-Фев-05 13:02

>[realIP] 3128 61-217-110-65.dyna client tcp 0
>61-217-110-65.dyna client [realIP] 3128 tcp 0
а вот это что за фигня
помойму кто то из инета сидит на вашем прокси сервере
т.е через ваш прокси, из инета лазит по инету
может вам это нормально, но обычно прокси разрешают только для внутренней сети

"Доступ к НАТ"
Отправлено adc , 02-Фев-05 19:06

а зачем так сложно? ;) Ведь твои два правила делают в итоге тоже самое?
${fwcmd} add divert natd ip from any to any via ${oif}

"Доступ к НАТ"
Отправлено mayd , 02-Фев-05 19:29

>а зачем так сложно? ;) Ведь твои два правила делают в итоге
>тоже самое?
>
>${fwcmd} add divert natd ip from any to any via ${oif}
Я не понял, это прикол, или вы так издеваетесь???
Вы мне советуете написать
${fwcmd} add divert natd ip from any to any via ${oif} ???
так это то-же, что у меня и было - то есть открытый доступ для ВСЕХ!!!
${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP]
${ipfw} add 102 divert natd all from any to [realIP] in via [realIP]
первое правило заворачивает в инет пакеты из моей сетки, а второе - все из инета В мою сетку - или я неправ??

"Доступ к НАТ"
Отправлено adc , 02-Фев-05 22:11

>Я не понял, это прикол, или вы так издеваетесь???
>Вы мне советуете написать
>${fwcmd} add divert natd ip from any to any via ${oif} ???
Давайте думать логически. Выше вам посоветовали два правила:
${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}
И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается вторым. Ну и в чём разница?
>так это то-же, что у меня и было - то есть открытый
>доступ для ВСЕХ!!!
Я бы где-нибудь в начале правил ещё прописал:
# Stop spoofing
${fwcmd} add deny log ip from ${inet} to any in via ${oif}
${fwcmd} add deny log ip from ${onet} to any in via ${iif}

P.S. Я тоже не гуру, а только учусь, могу ошибаться в чём-то и буду рад, если меня поправят.

"Доступ к НАТ"
Отправлено mayd , 03-Фев-05 10:53

>Давайте думать логически. Выше вам посоветовали два правила:
>${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
>
>${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}
>
>
>И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается
>вторым. Ну и в чём разница?
>
Мне кажется, что всё дело в IN и OUT , которые перед VIA - первая строчка работает только наружу, а вторая только во внутрь.
Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать?

"Доступ к НАТ"
Отправлено adc , 10-Фев-05 00:03

>Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать?
Удаляют пакеты с внутренними адресами, которые пришли из внешнего интерфейса и наоборот.
Кстати, почитал я тут man natd (чего и вам желаю ;-). Наверное, решение вашей проблемы в том, чтобы прописать в rc.conf
natd_flags="-deny_incoming -log_denied -use_sockets -same_ports -unregistered_only"
Особое внимание на первый и последний ключи. Что они значат можно посмотреть в man natd.

"Доступ к НАТ"
Отправлено wanderer , 03-Фев-05 11:34

>Давайте думать логически. Выше вам посоветовали два правила:
>${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
>
>${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}
>
>
>И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается
>вторым. Ну и в чём разница?
>
поясняю
первое правило говорит натить все пакеты на внешнем интерфейсе шлюза
при условии что отправитель внутренняя сеть а получатель интернет
второе говорит натить все пакеты на внешнем интерфейсе шлюза
при условии что отправитель интернет а получатель внешний ип адрес шлюза
при этом по второму правилу, нат будет делать обратное преобразование адресов (в серые, с тем чтобы пустить их в локалку) по своей таблице,
а таблица эта генерится исходящими через нат пакетами ...
и соответственно воспользоваться натом из интернета для доступа в интернет не считаю возможным

"Доступ к НАТ"
Отправлено wanderer , 03-Фев-05 11:36

т.е. НЕ ВОЗМОЖНЫМ
сори это была описка :)

"Доступ к НАТ"
Отправлено mayd , 03-Фев-05 12:29

Тоесть правила
${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via
>[realIP]
>${ipfw} add 102 divert natd all from any to [realIP] in via
>[realIP
верные, тогда где ошибка? Где смотреть?

"Доступ к НАТ"
Отправлено mayd , 03-Фев-05 14:51

Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать

"Доступ к НАТ"
Отправлено butcher , 03-Фев-05 15:00

>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать
Телепаты все в отпуске.
Squid у вас стоит на этом сервере или нет?

"Доступ к НАТ"
Отправлено mayd , 04-Фев-05 16:04

>>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать
>
>Телепаты все в отпуске.
>Squid у вас стоит на этом сервере или нет?
Нет, не стоит, только НАТ

"Доступ к НАТ"
Отправлено мимо проходил , 04-Фев-05 00:05

>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать
тут нет, они в ru.unix.bsd обитают

"Доступ к НАТ"
Отправлено Аномин , 16-Фев-05 14:48

нормально надо задавать вопросы:
а настройка ната - это даже и не вопрос, пять минут и всё в ажуре.
лень отвечать, напрягать мозги....
ты б сказал - ПИВО ЕСТЬ = ИНЕТа НЕТ!!! :)
народ бы помог - хотя только за идею!
а насчёт админов - так ТЫ сам такой.
тебе всё рассказали, расжевали и в рот положили - просто выкинь лишнее из постов и будет щасте.