URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3995
[ Назад ]

Исходное сообщение
"ipfw для шлюза"

Отправлено lyric , 01-Окт-08 16:50 
Здравствуйте

Вопрос обсуждался уже многократно, статьи по нему есть на каждом уважающем себя сайте - а вот, споткнулся)

Задача - организовать выход в интернет для подсети 192.168.0.0/24 шлюзом на freebsd 6.3 (2 сетевухи)
Снаружи должны быть видны только 22 и 80 порты.

После вдумчивого прочтения кучи документации получилось это:
00100 check-state
00260 divert 8668 ip from 192.168.0.0/24 to any out via rl0
00270 divert 8668 ip from any to 193.178.237.142 in via rl0
00280 allow ip from me to any keep-state
00300 allow ip from any to any via lo
00500 allow ip from any to any via rl1
65535 deny ip from any to any

(rl0 - внешняя сетевушка, rl1 - внутренняя)

Проблема в том, что конструкция не работает) Проблема именно в наборе правил, т.к. если добавить в конце
ipfw add allow ip from any to any - все работает.

Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к своей ситуации почему-то не могу. Просьба указать, где грабли...


Содержание

Сообщения в этом обсуждении
"ipfw для шлюза"
Отправлено arachnid , 01-Окт-08 17:48 
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...

так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
а правила, разрешающего внутренней сети ходить наружу - не наблюдается


"ipfw для шлюза"
Отправлено aurved , 01-Окт-08 18:05 
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...

А вот один вопрос? NAT то запущен?


"ipfw для шлюза"
Отправлено lyric , 01-Окт-08 18:17 
>А вот один вопрос? NAT то запущен?

Запущен. Я же писал: если разрешить всем все - инет есть.

>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>а правила, разрешающего внутренней сети ходить наружу - не наблюдается

т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
Попробую завтра...


"ipfw для шлюза"
Отправлено Square , 02-Окт-08 04:01 
>>А вот один вопрос? NAT то запущен?
>
>Запущен. Я же писал: если разрешить всем все - инет есть.
>
>>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>
>т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
>
>Попробую завтра...

На самом деле при наличие ната -выдуманные вами правила - вздор...


add 31000 allow ip from any to any via lo0
add 33950 allow tcp from any to me 22,80 keep-state
add 35250 divert natd all from any to any via внешняя_карточка
add 35300 allow all from any to any

а в конфиге ната указать:
deny_incoming yes

это правило  зарэжэт  :) все входящие пакеты пришедшие не в ответ на исходящие пакеты...
в конфиг ната же встраиваются правила для редиректа портов