The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Оцените конфиг IPFW+NAT, проблемка с ДНС"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от alexeys emailИскать по авторуВ закладки on 30-Ноя-03, 17:25  (MSK)
Всем привет!
Есть конфиг, помогите оцентить его пригодность для использования на FreeBSD 4.9+Squid (в перспективе)
fwcmd="/sbin/ipfw -q"
NATD_IF="xl0"
LAN_IF="xl1"
LAN_NET="10.0.0.0/8"
LAN_ADDR="10.255.255.99"
INET_ADDR="19x.x.x.x"
L_ADM="10.0.0.40"
R_ADM="19x.x.x.0/28"
#
${fwcmd} flush
${fwcmd} add 100 divert 8668 ip from ${LAN_NET} to any out via ${NATD_IF}
${fwcmd} add 200 divert 8668 ip from any to ${INET_ADDR} in via ${NATD_IF}
${fwcmd} add 300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 400 allow ip from any to any via lo0
${fwcmd} add 500 deny ip from any to 127.0.0.0/8
${fwcmd} add 600 deny ip from 127.0.0.0/8 to any
${fwcmd} add 700 deny ip from ${LAN_NET} to any in via ${NATD_IF}
${fwcmd} add 800 allow icmp from any to any
${fwcmd} add 1000 allow tcp from ${INET_ADDR} to any 25,80,110,123,443,8080 setup
${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
${fwcmd} add 2100 allow udp from any 53 to any
${fwcmd} add 4000 allow ip from me to any
${fwcmd} add 5000 allow tcp from ${R_ADM} to ${INET_ADDR} 20,21,22,80 setup
${fwcmd} add 5100 allow tcp from any to any established
${fwcmd} add 6000 allow ip from ${LAN_NET} to any via ${LAN_IF}
${fwcmd} add 6100 allow ip from any to ${LAN_NET} via ${LAN_IF}

В большинстве конфигов для работы ДНС указывают
${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
но у меня с такой настройкой ДНС не работает, приходится в правило 2100 в конце ставить  "any" вместо ${INET_ADDR}. Правильно ли это?
Жду ваших мнений.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от Sashko emailИскать по авторуВ закладки on 30-Ноя-03, 18:18  (MSK)
>Всем привет!
>Есть конфиг, помогите оцентить его пригодность для использования на FreeBSD 4.9+Squid (в
>перспективе)
>fwcmd="/sbin/ipfw -q"
>NATD_IF="xl0"
>LAN_IF="xl1"
>LAN_NET="10.0.0.0/8"
>LAN_ADDR="10.255.255.99"
>INET_ADDR="19x.x.x.x"
>L_ADM="10.0.0.40"
>R_ADM="19x.x.x.0/28"
>#
>${fwcmd} flush
>${fwcmd} add 100 divert 8668 ip from ${LAN_NET} to any out via
>${NATD_IF}
>${fwcmd} add 200 divert 8668 ip from any to ${INET_ADDR} in via
>${NATD_IF}
>${fwcmd} add 300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>${fwcmd} add 400 allow ip from any to any via lo0
>${fwcmd} add 500 deny ip from any to 127.0.0.0/8
>${fwcmd} add 600 deny ip from 127.0.0.0/8 to any
>${fwcmd} add 700 deny ip from ${LAN_NET} to any in via ${NATD_IF}
>
>${fwcmd} add 800 allow icmp from any to any
>${fwcmd} add 1000 allow tcp from ${INET_ADDR} to any 25,80,110,123,443,8080 setup
>${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
>${fwcmd} add 2100 allow udp from any 53 to any
>${fwcmd} add 4000 allow ip from me to any
>${fwcmd} add 5000 allow tcp from ${R_ADM} to ${INET_ADDR} 20,21,22,80 setup
>${fwcmd} add 5100 allow tcp from any to any established
>${fwcmd} add 6000 allow ip from ${LAN_NET} to any via ${LAN_IF}
>${fwcmd} add 6100 allow ip from any to ${LAN_NET} via ${LAN_IF}
>
>В большинстве конфигов для работы ДНС указывают
>${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
>но у меня с такой настройкой ДНС не работает, приходится в правило
>2100 в конце ставить  "any" вместо ${INET_ADDR}. Правильно ли это?
>
>Жду ваших мнений.

Работать то оно будет. Но лучше разобраться почему не работает  
>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}

Проверь настройки локального DNS сервака.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от alexeys emailИскать по авторуВ закладки on 01-Дек-03, 09:44  (MSK)
>Работать то оно будет. Но лучше разобраться почему не работает
>>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
>
>Проверь настройки локального DNS сервака.

Схема работы ДНС ледущая:
ДНС провайдера <----> Мой рутер (FreeBSD+NAT+IPFW) <----->  Клиенты
Думаю что на ДНС сервере провайдера все настройки стандартные.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от denn emailИскать по авторуВ закладки on 01-Дек-03, 10:38  (MSK)
у меня днс так бегает:
allow tcp from any to my_ip 53 setup
allow udp from any to my_ip 53

allow udp from my_ip 53 to any

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от alexeys emailИскать по авторуВ закладки on 01-Дек-03, 10:44  (MSK)
>у меня днс так бегает:
>allow tcp from any to my_ip 53 setup
>allow udp from any to my_ip 53
>
>allow udp from my_ip 53 to any

my_ip - это адрес внешнего (инетовского) интерфейса?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от denn emailИскать по авторуВ закладки on 01-Дек-03, 10:45  (MSK)
>>у меня днс так бегает:
>>allow tcp from any to my_ip 53 setup
>>allow udp from any to my_ip 53
>>
>>allow udp from my_ip 53 to any
>
>my_ip - это адрес внешнего (инетовского) интерфейса?
реальный ип

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от alexeys emailИскать по авторуВ закладки on 01-Дек-03, 11:03  (MSK)
Возник у меня еще один вопрос: нужно ли правило 1000 при правиле 4000. Последнее все равно все пропускает. Наверное лучше его переписать более строго?!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от denn emailИскать по авторуВ закладки on 01-Дек-03, 11:14  (MSK)
>Возник у меня еще один вопрос: нужно ли правило 1000 при правиле
>4000. Последнее все равно все пропускает. Наверное лучше его переписать более
>строго?!
тема в чем, как по мне, так лучше фарвол закрытым сделать, а все нужное поочередно открыть. все остальное будет по дефолту рубаться.
там в рц есть примеры, чуть поправить и все будет бегать.
правила проверяй ipfw -a l и смотри эффективность твоего набора.
в 1000 ты выпускаешь на определенные порты, а в 4000 отпускаешь все что не прошло в 1000. у меня явно заданы запреты, а после них allow tcp from any to any established - то есть отсекаюи то че не нужно, а потом отпускаю.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру