URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3995
[ Назад ]

Исходное сообщение
"ipfw для шлюза"
Отправлено lyric , 01-Окт-08 16:50

Здравствуйте
Вопрос обсуждался уже многократно, статьи по нему есть на каждом уважающем себя сайте - а вот, споткнулся)
Задача - организовать выход в интернет для подсети 192.168.0.0/24 шлюзом на freebsd 6.3 (2 сетевухи)
Снаружи должны быть видны только 22 и 80 порты.
После вдумчивого прочтения кучи документации получилось это:
00100 check-state
00260 divert 8668 ip from 192.168.0.0/24 to any out via rl0
00270 divert 8668 ip from any to 193.178.237.142 in via rl0
00280 allow ip from me to any keep-state
00300 allow ip from any to any via lo
00500 allow ip from any to any via rl1
65535 deny ip from any to any
(rl0 - внешняя сетевушка, rl1 - внутренняя)
Проблема в том, что конструкция не работает) Проблема именно в наборе правил, т.к. если добавить в конце
ipfw add allow ip from any to any - все работает.
Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к своей ситуации почему-то не могу. Просьба указать, где грабли...

Содержание

ipfw для шлюза,arachnid, 17:48 , 01-Окт-08
ipfw для шлюза,aurved, 18:05 , 01-Окт-08
- ipfw для шлюза,lyric, 18:17 , 01-Окт-08
  - ipfw для шлюза,Square, 04:01 , 02-Окт-08

Сообщения в этом обсуждении

"ipfw для шлюза"
Отправлено arachnid , 01-Окт-08 17:48

>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...
так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
а правила, разрешающего внутренней сети ходить наружу - не наблюдается

"ipfw для шлюза"
Отправлено aurved , 01-Окт-08 18:05

>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...
А вот один вопрос? NAT то запущен?

"ipfw для шлюза"
Отправлено lyric , 01-Окт-08 18:17

>А вот один вопрос? NAT то запущен?
Запущен. Я же писал: если разрешить всем все - инет есть.
>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
Попробую завтра...

"ipfw для шлюза"
Отправлено Square , 02-Окт-08 04:01

>>А вот один вопрос? NAT то запущен?
>
>Запущен. Я же писал: если разрешить всем все - инет есть.
>
>>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>
>т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
>
>Попробую завтра...
На самом деле при наличие ната -выдуманные вами правила - вздор...

add 31000 allow ip from any to any via lo0
add 33950 allow tcp from any to me 22,80 keep-state
add 35250 divert natd all from any to any via внешняя_карточка
add 35300 allow all from any to any
а в конфиге ната указать:
deny_incoming yes
это правило зарэжэт :) все входящие пакеты пришедшие не в ответ на исходящие пакеты...
в конфиг ната же встраиваются правила для редиректа портов