forum.opennet.ru - "Оцените конфиг IPFW+NAT, проблемка с ДНС" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Оцените конфиг IPFW+NAT, проблемка с ДНС"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от alexeys on 30-Ноя-03, 17:25 (MSK)
Всем привет! Есть конфиг, помогите оцентить его пригодность для использования на FreeBSD 4.9+Squid (в перспективе) fwcmd="/sbin/ipfw -q" NATD_IF="xl0" LAN_IF="xl1" LAN_NET="10.0.0.0/8" LAN_ADDR="10.255.255.99" INET_ADDR="19x.x.x.x" L_ADM="10.0.0.40" R_ADM="19x.x.x.0/28" # ${fwcmd} flush ${fwcmd} add 100 divert 8668 ip from ${LAN_NET} to any out via ${NATD_IF} ${fwcmd} add 200 divert 8668 ip from any to ${INET_ADDR} in via ${NATD_IF} ${fwcmd} add 300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${fwcmd} add 400 allow ip from any to any via lo0 ${fwcmd} add 500 deny ip from any to 127.0.0.0/8 ${fwcmd} add 600 deny ip from 127.0.0.0/8 to any ${fwcmd} add 700 deny ip from ${LAN_NET} to any in via ${NATD_IF} ${fwcmd} add 800 allow icmp from any to any ${fwcmd} add 1000 allow tcp from ${INET_ADDR} to any 25,80,110,123,443,8080 setup ${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53 ${fwcmd} add 2100 allow udp from any 53 to any ${fwcmd} add 4000 allow ip from me to any ${fwcmd} add 5000 allow tcp from ${R_ADM} to ${INET_ADDR} 20,21,22,80 setup ${fwcmd} add 5100 allow tcp from any to any established ${fwcmd} add 6000 allow ip from ${LAN_NET} to any via ${LAN_IF} ${fwcmd} add 6100 allow ip from any to ${LAN_NET} via ${LAN_IF} В большинстве конфигов для работы ДНС указывают ${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53 ${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR} но у меня с такой настройкой ДНС не работает, приходится в правило 2100 в конце ставить "any" вместо ${INET_ADDR}. Правильно ли это? Жду ваших мнений.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Оцените конфиг IPFW+NAT, проблемка с ДНС, Sashko, 18:18 , 30-Ноя-03, (1)
- Оцените конфиг IPFW+NAT, проблемка с ДНС, alexeys, 09:44 , 01-Дек-03, (2)
Оцените конфиг IPFW+NAT, проблемка с ДНС, denn, 10:38 , 01-Дек-03, (3)
- Оцените конфиг IPFW+NAT, проблемка с ДНС, alexeys, 10:44 , 01-Дек-03, (4)
  - Оцените конфиг IPFW+NAT, проблемка с ДНС, denn, 10:45 , 01-Дек-03, (5)
    - Оцените конфиг IPFW+NAT, проблемка с ДНС, alexeys, 11:03 , 01-Дек-03, (6)
      - Оцените конфиг IPFW+NAT, проблемка с ДНС, denn, 11:14 , 01-Дек-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от Sashko on 30-Ноя-03, 18:18  (MSK)

>Всем привет!
>Есть конфиг, помогите оцентить его пригодность для использования на FreeBSD 4.9+Squid (в
>перспективе)
>fwcmd="/sbin/ipfw -q"
>NATD_IF="xl0"
>LAN_IF="xl1"
>LAN_NET="10.0.0.0/8"
>LAN_ADDR="10.255.255.99"
>INET_ADDR="19x.x.x.x"
>L_ADM="10.0.0.40"
>R_ADM="19x.x.x.0/28"
>#
>${fwcmd} flush
>${fwcmd} add 100 divert 8668 ip from ${LAN_NET} to any out via
>${NATD_IF}
>${fwcmd} add 200 divert 8668 ip from any to ${INET_ADDR} in via
>${NATD_IF}
>${fwcmd} add 300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>${fwcmd} add 400 allow ip from any to any via lo0
>${fwcmd} add 500 deny ip from any to 127.0.0.0/8
>${fwcmd} add 600 deny ip from 127.0.0.0/8 to any
>${fwcmd} add 700 deny ip from ${LAN_NET} to any in via ${NATD_IF}
>
>${fwcmd} add 800 allow icmp from any to any
>${fwcmd} add 1000 allow tcp from ${INET_ADDR} to any 25,80,110,123,443,8080 setup
>${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
>${fwcmd} add 2100 allow udp from any 53 to any
>${fwcmd} add 4000 allow ip from me to any
>${fwcmd} add 5000 allow tcp from ${R_ADM} to ${INET_ADDR} 20,21,22,80 setup
>${fwcmd} add 5100 allow tcp from any to any established
>${fwcmd} add 6000 allow ip from ${LAN_NET} to any via ${LAN_IF}
>${fwcmd} add 6100 allow ip from any to ${LAN_NET} via ${LAN_IF}
>
>В большинстве конфигов для работы ДНС указывают
>${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53
>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
>но у меня с такой настройкой ДНС не работает, приходится в правило
>2100 в конце ставить  "any" вместо ${INET_ADDR}. Правильно ли это?
>
>Жду ваших мнений.
Работать то оно будет. Но лучше разобраться почему не работает
>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
Проверь настройки локального DNS сервака.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от alexeys on 01-Дек-03, 09:44  (MSK)

>Работать то оно будет. Но лучше разобраться почему не работает
>>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR}
>
>Проверь настройки локального DNS сервака.
Схема работы ДНС ледущая:
ДНС провайдера <----> Мой рутер (FreeBSD+NAT+IPFW) <----->  Клиенты
Думаю что на ДНС сервере провайдера все настройки стандартные.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от denn on 01-Дек-03, 10:38  (MSK)

у меня днс так бегает:
allow tcp from any to my_ip 53 setup
allow udp from any to my_ip 53
allow udp from my_ip 53 to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от alexeys on 01-Дек-03, 10:44  (MSK)

>у меня днс так бегает:
>allow tcp from any to my_ip 53 setup
>allow udp from any to my_ip 53
>
>allow udp from my_ip 53 to any
my_ip - это адрес внешнего (инетовского) интерфейса?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от denn on 01-Дек-03, 10:45  (MSK)

>>у меня днс так бегает:
>>allow tcp from any to my_ip 53 setup
>>allow udp from any to my_ip 53
>>
>>allow udp from my_ip 53 to any
>
>my_ip - это адрес внешнего (инетовского) интерфейса?
реальный ип

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от alexeys on 01-Дек-03, 11:03  (MSK)

Возник у меня еще один вопрос: нужно ли правило 1000 при правиле 4000. Последнее все равно все пропускает. Наверное лучше его переписать более строго?!

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Оцените конфиг IPFW+NAT, проблемка с ДНС"

Сообщение от denn on 01-Дек-03, 11:14  (MSK)

>Возник у меня еще один вопрос: нужно ли правило 1000 при правиле
>4000. Последнее все равно все пропускает. Наверное лучше его переписать более
>строго?!
тема в чем, как по мне, так лучше фарвол закрытым сделать, а все нужное поочередно открыть. все остальное будет по дефолту рубаться.
там в рц есть примеры, чуть поправить и все будет бегать.
правила проверяй ipfw -a l и смотри эффективность твоего набора.
в 1000 ты выпускаешь на определенные порты, а в 4000 отпускаешь все что не прошло в 1000. у меня явно заданы запреты, а после них allow tcp from any to any established - то есть отсекаюи то че не нужно, а потом отпускаю.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от Sashko on 30-Ноя-03, 18:18 (MSK)
>Всем привет! >Есть конфиг, помогите оцентить его пригодность для использования на FreeBSD 4.9+Squid (в >перспективе) >fwcmd="/sbin/ipfw -q" >NATD_IF="xl0" >LAN_IF="xl1" >LAN_NET="10.0.0.0/8" >LAN_ADDR="10.255.255.99" >INET_ADDR="19x.x.x.x" >L_ADM="10.0.0.40" >R_ADM="19x.x.x.0/28" ># >${fwcmd} flush >${fwcmd} add 100 divert 8668 ip from ${LAN_NET} to any out via >${NATD_IF} >${fwcmd} add 200 divert 8668 ip from any to ${INET_ADDR} in via >${NATD_IF} >${fwcmd} add 300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >${fwcmd} add 400 allow ip from any to any via lo0 >${fwcmd} add 500 deny ip from any to 127.0.0.0/8 >${fwcmd} add 600 deny ip from 127.0.0.0/8 to any >${fwcmd} add 700 deny ip from ${LAN_NET} to any in via ${NATD_IF} > >${fwcmd} add 800 allow icmp from any to any >${fwcmd} add 1000 allow tcp from ${INET_ADDR} to any 25,80,110,123,443,8080 setup >${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53 >${fwcmd} add 2100 allow udp from any 53 to any >${fwcmd} add 4000 allow ip from me to any >${fwcmd} add 5000 allow tcp from ${R_ADM} to ${INET_ADDR} 20,21,22,80 setup >${fwcmd} add 5100 allow tcp from any to any established >${fwcmd} add 6000 allow ip from ${LAN_NET} to any via ${LAN_IF} >${fwcmd} add 6100 allow ip from any to ${LAN_NET} via ${LAN_IF} > >В большинстве конфигов для работы ДНС указывают >${fwcmd} add 2000 allow udp from ${INET_ADDR} to any 53 >${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR} >но у меня с такой настройкой ДНС не работает, приходится в правило >2100 в конце ставить "any" вместо ${INET_ADDR}. Правильно ли это? > >Жду ваших мнений. Работать то оно будет. Но лучше разобраться почему не работает >${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR} Проверь настройки локального DNS сервака.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
	Сообщение от alexeys on 01-Дек-03, 09:44 (MSK)
	>Работать то оно будет. Но лучше разобраться почему не работает >>${fwcmd} add 2100 allow udp from any 53 to ${INET_ADDR} > >Проверь настройки локального DNS сервака. Схема работы ДНС ледущая: ДНС провайдера <----> Мой рутер (FreeBSD+NAT+IPFW) <-----> Клиенты Думаю что на ДНС сервере провайдера все настройки стандартные.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
Сообщение от denn on 01-Дек-03, 10:38 (MSK)
у меня днс так бегает: allow tcp from any to my_ip 53 setup allow udp from any to my_ip 53 allow udp from my_ip 53 to any
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
	Сообщение от alexeys on 01-Дек-03, 10:44 (MSK)
	>у меня днс так бегает: >allow tcp from any to my_ip 53 setup >allow udp from any to my_ip 53 > >allow udp from my_ip 53 to any my_ip - это адрес внешнего (инетовского) интерфейса?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
	Сообщение от denn on 01-Дек-03, 10:45 (MSK)
	>>у меня днс так бегает: >>allow tcp from any to my_ip 53 setup >>allow udp from any to my_ip 53 >> >>allow udp from my_ip 53 to any > >my_ip - это адрес внешнего (инетовского) интерфейса? реальный ип
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
	Сообщение от alexeys on 01-Дек-03, 11:03 (MSK)
	Возник у меня еще один вопрос: нужно ли правило 1000 при правиле 4000. Последнее все равно все пропускает. Наверное лучше его переписать более строго?!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Оцените конфиг IPFW+NAT, проблемка с ДНС"
	Сообщение от denn on 01-Дек-03, 11:14 (MSK)
	>Возник у меня еще один вопрос: нужно ли правило 1000 при правиле >4000. Последнее все равно все пропускает. Наверное лучше его переписать более >строго?! тема в чем, как по мне, так лучше фарвол закрытым сделать, а все нужное поочередно открыть. все остальное будет по дефолту рубаться. там в рц есть примеры, чуть поправить и все будет бегать. правила проверяй ipfw -a l и смотри эффективность твоего набора. в 1000 ты выпускаешь на определенные порты, а в 4000 отпускаешь все что не прошло в 1000. у меня явно заданы запреты, а после них allow tcp from any to any established - то есть отсекаюи то че не нужно, а потом отпускаю.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх