URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3133
[ Назад ]

Исходное сообщение
"Помогите с правилами ipfw"

Отправлено Викинг , 29-Янв-07 14:52 
Привет всем знатокам!

У меня проблемы с правилами ipfw. Нужна помощь и советы.

Ситуация такая:

В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса ${inet} и ${local}, ну тут понятно, что куда смотрит.

Вот вот мои правила:

${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet}

Вот правило, если кому не лень расскажите, что это правило означает. Я хотел этим правилом ограничить юзеру доступ в инет. Если я неправ поправьте меня.

Спасибо.


Содержание

Сообщения в этом обсуждении
"Помогите с правилами ipfw"
Отправлено newser , 29-Янв-07 15:41 
>Привет всем знатокам!
>
>У меня проблемы с правилами ipfw. Нужна помощь и советы.
>
>Ситуация такая:
>
>В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса
>${inet} и ${local}, ну тут понятно, что куда смотрит.
>
>Вот вот мои правила:
>
>${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet}
>
>
>Вот правило, если кому не лень расскажите, что это правило означает. Я
>хотел этим правилом ограничить юзеру доступ в инет. Если я неправ
>поправьте меня.
>
>Спасибо.

Почитайте man ipfw, там вся структура правил изложена.


"Помогите с правилами ipfw"
Отправлено Викинг , 29-Янв-07 15:43 
>>Привет всем знатокам!
>>
>>У меня проблемы с правилами ipfw. Нужна помощь и советы.
>>
>>Ситуация такая:
>>
>>В офисе стоит шлюз на фрю 6.1, на данном шлюзе два интерфейса
>>${inet} и ${local}, ну тут понятно, что куда смотрит.
>>
>>Вот вот мои правила:
>>
>>${ipfw} add 100 deny all from 192.168.0.10 to any out via ${inet}
>>
>>
>>Вот правило, если кому не лень расскажите, что это правило означает. Я
>>хотел этим правилом ограничить юзеру доступ в инет. Если я неправ
>>поправьте меня.
>>
>>Спасибо.
>
>Почитайте man ipfw, там вся структура правил изложена.

Я уже все маны излазил и всё равно данное правило лочит всю локалку


"Помогите с правилами ipfw"
Отправлено newser , 29-Янв-07 17:01 
>>
>>Почитайте man ipfw, там вся структура правил изложена.
>
>Я уже все маны излазил и всё равно данное правило лочит всю
>локалку

А Вы еще читайте, и так - до просветления!
Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...

А сюда лучше приведите вывод ipfw list.

PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.

${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}

или что-то в этом роде.


"Помогите с правилами ipfw"
Отправлено Викинг , 29-Янв-07 17:34 
>>>
>>>Почитайте man ipfw, там вся структура правил изложена.
>>
>>Я уже все маны излазил и всё равно данное правило лочит всю
>>локалку
>
>А Вы еще читайте, и так - до просветления!
>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>
>А сюда лучше приведите вывод ipfw list.
>
>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.
>
>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
>
>
>или что-то в этом роде.

Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type"
которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит и уходит как только ставишь значение "SIMPLE" всё лочится и не важно какие правила находятся в файле.

На данный момент смысла нет предоставлять ipfw list так как там одно правило, по умолчанию, которое разрешает все и всем.

К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
опять же не работает :(  


"Помогите с правилами ipfw"
Отправлено newser , 29-Янв-07 17:40 
>>>>
>>>>Почитайте man ipfw, там вся структура правил изложена.
>>>
>>>Я уже все маны излазил и всё равно данное правило лочит всю
>>>локалку
>>
>>А Вы еще читайте, и так - до просветления!
>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>>
>>А сюда лучше приведите вывод ipfw list.
>>
>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.
>>
>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
>>
>>
>>или что-то в этом роде.
>
>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type"
>
>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит
>и уходит как только ставишь значение "SIMPLE" всё лочится и не
>важно какие правила находятся в файле.
>
>На данный момент смысла нет предоставлять ipfw list так как там одно
>правило, по умолчанию, которое разрешает все и всем.
>
>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any
>in via ${local}
>опять же не работает :(

Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены примеры, но как правило админ сам пишет свой rc.firewall на основе своих нужд. А для этого постарайтесь понять принципы работы фаервола, без понимания ничего не получится, а за Вас правила никто писать не будет.


"Помогите с правилами ipfw"
Отправлено Викинг , 29-Янв-07 17:52 
>>>>>
>>>>>Почитайте man ipfw, там вся структура правил изложена.
>>>>
>>>>Я уже все маны излазил и всё равно данное правило лочит всю
>>>>локалку
>>>
>>>А Вы еще читайте, и так - до просветления!
>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>>>
>>>А сюда лучше приведите вывод ipfw list.
>>>
>>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.
>>>
>>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
>>>
>>>
>>>или что-то в этом роде.
>>
>>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type"
>>
>>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит
>>и уходит как только ставишь значение "SIMPLE" всё лочится и не
>>важно какие правила находятся в файле.
>>
>>На данный момент смысла нет предоставлять ipfw list так как там одно
>>правило, по умолчанию, которое разрешает все и всем.
>>
>>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any
>>in via ${local}
>>опять же не работает :(
>
>Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены
>примеры, но как правило админ сам пишет свой rc.firewall на основе
>своих нужд. А для этого постарайтесь понять принципы работы фаервола, без
>понимания ничего не получится, а за Вас правила никто писать не
>будет.


Да я понимаю, что писать не будут мне этого и ненужно, просто нужен человек с кем можно пообщаться и спросить его мнение.
Всё равно спасибо! :)


"Помогите с правилами ipfw"
Отправлено DeadLoco , 04-Фев-07 02:50 
Всякий уважающий себя провайдер на первом же хопе зарубит любой пакет, у которого в SRC или DST прописан адрес из RFC1918.

Данное правило проистекает из природы "серых адресов". Поскольку сети 10.*.*.*, 172.16.*.* и 192.168.*.* могут использоваться каждым встречным-поперечным на свое усмотрение, то таких в/п надлежит надежно изолировать от окружающих - таких же в/п.

Наиболее распространенные способы пропускания наружу пакетов из серых сетей - это трансляция адресов и проксирование. Если в вашей сети настроен НАТ, то указанное вами блокирующее правило можно отключить. Пакет с адресом из RFC1918 получит "честный" адрес наружного интерфейса и поедет по назначению беспрепятственно.


"Помогите с правилами ipfw"
Отправлено Викинг , 04-Фев-07 10:45 
>Всякий уважающий себя провайдер на первом же хопе зарубит любой пакет, у
>которого в SRC или DST прописан адрес из RFC1918.
>
>Данное правило проистекает из природы "серых адресов". Поскольку сети 10.*.*.*, 172.16.*.* и
>192.168.*.* могут использоваться каждым встречным-поперечным на свое усмотрение, то таких в/п
>надлежит надежно изолировать от окружающих - таких же в/п.
>
>Наиболее распространенные способы пропускания наружу пакетов из серых сетей - это трансляция
>адресов и проксирование. Если в вашей сети настроен НАТ, то указанное
>вами блокирующее правило можно отключить. Пакет с адресом из RFC1918 получит
>"честный" адрес наружного интерфейса и поедет по назначению беспрепятственно.

Т.е. Вы считаете, что нужно ставить проксю и уже через неё давать доступ юзерам?  


"Помогите с правилами ipfw"
Отправлено BlaZed , 05-Фев-07 13:57 
>>>>>>
>>>>>>Почитайте man ipfw, там вся структура правил изложена.
>>>>>
>>>>>Я уже все маны излазил и всё равно данное правило лочит всю
>>>>>локалку
>>>>
>>>>А Вы еще читайте, и так - до просветления!
>>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>>>>
>>>>А сюда лучше приведите вывод ipfw list.
>>>>
>>>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.
>>>>
>>>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
>>>>
>>>>
>>>>или что-то в этом роде.
>>>
>>>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type"
>>>
>>>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит
>>>и уходит как только ставишь значение "SIMPLE" всё лочится и не
>>>важно какие правила находятся в файле.
>>>
>>>На данный момент смысла нет предоставлять ipfw list так как там одно
>>>правило, по умолчанию, которое разрешает все и всем.
>>>
>>>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any
>>>in via ${local}
>>>опять же не работает :(
>>
>>Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены
>>примеры, но как правило админ сам пишет свой rc.firewall на основе
>>своих нужд. А для этого постарайтесь понять принципы работы фаервола, без
>>понимания ничего не получится, а за Вас правила никто писать не
>>будет.
>
>
>Да я понимаю, что писать не будут мне этого и ненужно, просто
>нужен человек с кем можно пообщаться и спросить его мнение.
>Всё равно спасибо! :)

Данное правило режет пакеты от 192.168.0.10 для любого IP на выходе
с ${inet} интерфейса. Абсолютно бессмысленное правило. Если на ${inet}
именно внешние адреса, то вышестояший шлюз и так сей пакет зарезать должен.
Прочитай хотябы для начала http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
для написания простейших правил должно хватить.
Я так понимаю, что ты ставишь firewall_type="SIMPLE", прочитай вышеприведенную ссылку и пойми, что означает SIMPLE.
В большинстве случаев предпочтительнее firewall_type="/etc/firewall"
в котором пишешь свои правила.


"Помогите с правилами ipfw"
Отправлено Викинг , 05-Фев-07 14:10 
>>>>>>>
>>>>>>>Почитайте man ipfw, там вся структура правил изложена.
>>>>>>
>>>>>>Я уже все маны излазил и всё равно данное правило лочит всю
>>>>>>локалку
>>>>>
>>>>>А Вы еще читайте, и так - до просветления!
>>>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>>>>>
>>>>>А сюда лучше приведите вывод ipfw list.
>>>>>
>>>>>PS "Лочить" пользователя из локалки лучше на внутреннем интерфейсе, т.е.
>>>>>
>>>>>${ipfw} add 100 deny all from 192.168.0.10 to any in via ${local}
>>>>>
>>>>>
>>>>>или что-то в этом роде.
>>>>
>>>>Я всё это читаю уже неделю, кажется у меся со строкой "firewall_type"
>>>>
>>>>которая находится в rc.conf . Когда стоит значение "OPEN" все нормально проходит
>>>>и уходит как только ставишь значение "SIMPLE" всё лочится и не
>>>>важно какие правила находятся в файле.
>>>>
>>>>На данный момент смысла нет предоставлять ipfw list так как там одно
>>>>правило, по умолчанию, которое разрешает все и всем.
>>>>
>>>>К стати пример ${ipfw} add 100 deny all from 192.168.0.10 to any
>>>>in via ${local}
>>>>опять же не работает :(
>>>
>>>Ну что же, изучайте. Ссылку я Вам привел. В дефолтном rc.firewall приведены
>>>примеры, но как правило админ сам пишет свой rc.firewall на основе
>>>своих нужд. А для этого постарайтесь понять принципы работы фаервола, без
>>>понимания ничего не получится, а за Вас правила никто писать не
>>>будет.
>>
>>
>>Да я понимаю, что писать не будут мне этого и ненужно, просто
>>нужен человек с кем можно пообщаться и спросить его мнение.
>>Всё равно спасибо! :)
>
>Данное правило режет пакеты от 192.168.0.10 для любого IP на выходе
>с ${inet} интерфейса. Абсолютно бессмысленное правило. Если на ${inet}
>именно внешние адреса, то вышестояший шлюз и так сей пакет зарезать должен.
>
>Прочитай хотябы для начала http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
>для написания простейших правил должно хватить.
>Я так понимаю, что ты ставишь firewall_type="SIMPLE", прочитай вышеприведенную ссылку и пойми,
>что означает SIMPLE.
>В большинстве случаев предпочтительнее firewall_type="/etc/firewall"
>в котором пишешь свои правила.


Спасибо за дельное описание и совет!!! Я обязательно прочту!


"Помогите с правилами ipfw"
Отправлено KUUL , 27-Окт-07 21:45 
>>>А Вы еще читайте, и так - до просветления!
>>>Можете еще почитать здесь: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firew...
>>>

IPFW


Этот раздел не переведен.