The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"firewall.sh не работает"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 11:56  (MSK)
Система FreeBSD 5.4- p7

ipfw работает только в режиме firewall_type="open".
при попытке применить firewall_script="/etc/firewall.sh" - локалка блокируется для внешнего мира в любом случае (внутри все нормально), даже если firewall.sh настроен на разрешение всего и всем.

ядро с опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
options IPDIVERT
options DUMMYNET

в rc.conf:
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
tcp_drop_synfin="YES"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/firewall.sh"
firewall_logging="YES"
natd_enable="YES"
natd_interface="xl0"
natd_flags="-s"

Подскажите, в чем проблема.
Заранее большое спасибо!

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "firewall.sh не работает" 
Сообщение от newser Искать по авторуВ закладки(ok) on 07-Окт-05, 12:37  (MSK)
>Система FreeBSD 5.4- p7
>
>ipfw работает только в режиме firewall_type="open".
>при попытке применить firewall_script="/etc/firewall.sh" - локалка блокируется для внешнего мира в любом
>случае (внутри все нормально), даже если firewall.sh настроен на разрешение всего
>и всем.
>
>ядро с опциями:
>options IPFIREWALL
>options IPFIREWALL_VERBOSE
>options IPFIREWALL_VERBOSE_LIMIT=100
>options IPFIREWALL_FORWARD
>options IPFIREWALL_FORWARD_EXTENDED
>options IPDIVERT
>options DUMMYNET
>
>в rc.conf:
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
>icmp_bmcastecho="NO"
>tcp_drop_synfin="YES"
>firewall_enable="YES"
>#firewall_type="OPEN"
>firewall_script="/etc/firewall.sh"
>firewall_logging="YES"
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags="-s"
>
>Подскажите, в чем проблема.
>Заранее большое спасибо!


А может все-таки покажете содержимое /etc/firewall.sh?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 12:46  (MSK)

>А может все-таки покажете содержимое /etc/firewall.sh?


Сорри:

#!/bin/sh

ipfw='/sbin/ipfw -q'
inet='xl0'
lan1='xl1'

${ipfw} -a flush
${ipfw} add 100 allow all from any to any via lo0              


${ipfw} add 300 divert natd tcp from any to any via ${inet}
${ipfw} add 310 divert natd udp from any to any via ${inet}

${ipfw} add 400 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 410 deny icmp from any to any frag
${ipfw} add 420 allow icmp from any to any
${ipfw} add 500 deny tcp from any to 192.168.1.0/24 137-139 via ${inet}
${ipfw} add 510 deny udp from any to 192.168.1.0/24 137-139 via ${inet}
${ipfw} add 520 deny ip from 192.168.1.0/24 to any in via ${inet}
${ipfw} add 530 allow tcp from 192.168.1.1 to any 5999
${ipfw} add 540 allow udp from any 53 to any
${ipfw} add 550 allow udp from any to any 53

${ipfw} add 600 allow tcp from 192.168.1.0/24 to any 20,21,25,80,110,443,5190
${ipfw} add 610 allow tcp from any 20,21,25,80,110,443,5190 to 192.168.1.0/24

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 13:02  (MSK)
И еще:
выдается ошибка natd при перезапуске /etc/netstart:
Firewall rules loaded, starting divert daemons: natdnatd: Unable to bind divert socket.: Address already in use
что делать?
спасибо
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "firewall.sh не работает" 
Сообщение от dm emailИскать по авторуВ закладки(??) on 07-Окт-05, 13:34  (MSK)
собственно блокируется именно из-за неправильной настройки natd,
как запускается natd ?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 13:43  (MSK)
>собственно блокируется именно из-за неправильной настройки natd,
>как запускается natd ?
в rc.conf -
natd_enable="YES"
natd_interface="xl0"
natd_flags="-s"

# ps ax |grep natd
  241  ??  Ss     0:09,59 /sbin/natd -s -n xl0
  2414  p1  S+     0:00,00 grep natd


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 15:22  (MSK)
>>собственно блокируется именно из-за неправильной настройки natd,
>>как запускается natd ?
>в rc.conf -
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags="-s"

добавил флаг -u
ничего не изменилось

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "firewall.sh не работает" 
Сообщение от Halt emailИскать по авторуВ закладки(ok) on 07-Окт-05, 16:13  (MSK)
цель запуска натд ? для выхода выпуска в интеренет(FreeBSD) леванета делается так:

/etc/rc.conf
hostname="domaine.ru"
ifconfig_rl0="inet 192.168.4.204 netmask 255.255.255.0"
# ип в интернет твоего сервака
ifconfig_rl1="inet 196.196.196.3 netmask 255.255.255.0"

defaultrouter="196.196.196.1" #шлюз твоего сервака кто в инет тебя пускает
gateway_enable="YES"

natd_enable="YES"
natd_interface="rl1"
natd_flags=""
#-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

firewall_enable="YES"           # Set to YES to enable firewall functionality
firewall_type="ORG"             # Firewall type (see /etc/rc.firewall)
firewall_quiet="YES"            # Set to YES to suppress rule display (boot)
firewall_script="/etc/rc.firewall"
firewall_logging="YES"
firewall_flags=""

# конец rc.conf

если нет надо создать
/etc/natd.conf
log no
deny_incoming no
dynamic yes
use_sockets yes
same_ports yes
verbose no
port natd
#alias_address 209.178.100.232
unregistered_only yes
#natd.conf (END)

фрагмент /etc/rc.firewall
# Prototype setups.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
        ${fwcmd} add pass ICMP from any to any
        ${fwcmd} add 65000 pass all from any to any
        ;;

[Oo][Rr][Gg])
        ############
        # This is a prototype setup that will protect your system somewhat
        # against people from outside your own network.
        ############

# set these to your network and netmask and ip
        inet="192.168.4.0/24"
        imask="255.255.255.0"
        iip="192.168.4.204"
        iif="rl0"
        oip="196.196.196.3"
        onet="196.196.196.0/24"
        omask="255.255.255.0"
        oif="rl1"

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        # что бы работал диверт разрешающие правила ставим после него
        ${fwcmd} add divert natd all from ${inet} to any out via ${natd_interface}
        ${fwcmd} add divert natd all from any to ${oip} in via ${natd_interface}
        # Allow any traffic to or from my own net.
        ${fwcmd} add pass all from ${oip} to ${onet}:${omask}
        ${fwcmd} add pass all from ${onet}:${omask} to ${oip}

        #me - все ип адреса нашего сервера
        ${fwcmd} add allow ip from me to any
        # разрешаем ICMP (к примеру ping)
        ${fwcmd} add pass ICMP from any to any
;;


после этого должно заработать ;)
а вообще до этого еще правильно ядро собрать нада если не 5я фряха

а теперь если у тебя все ок, рассказывай как у тебя две сетевушки работают в одной подсети :)


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 16:31  (MSK)
Хочу решить проблему с данными которые я привел выше. Хотелось бы знать в чем проблема.natd работает при firewall_type="open". при применении firewall_script - блокируется трафик. Скрипт привел выше.

по ipfw show видно что трафик считается, но все равно с клиенов доступа в мир нету:
# ipfw show
00100  44  3868 allow ip from any to any via lo0
00300 142  9329 divert 8668 tcp from any to any via xl0
00310  30  2894 divert 8668 udp from any to any via xl0
00400   0     0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00410   0     0 deny icmp from any to any frag
00420 476 39984 allow icmp from any to any
00500   0     0 deny tcp from any to 192.168.0.0/24 dst-port 137-139 via xl0
00510   0     0 deny udp from any to 192.168.0.0/24 dst-port 137-139 via xl0
00520   0     0 deny ip from 192.168.0.0/24 to any in via xl0
00530   0     0 allow tcp from 192.168.0.0/24 to any dst-port 5999
00540  48  8131 allow udp from any 53 to any
00550  18  1049 allow udp from any to any dst-port 53
00590   0     0 allow tcp from 192.168.0.7 to me dst-port 953
00591   0     0 allow tcp from me to 192.168.0.7 dst-port 953
00600 833 65324 allow tcp from 192.168.0.0/24 to any dst-port 20,21,22,23,25,80,
110,443,2049,3389,5190
00610 540 89941 allow tcp from any 20,21,22,23,25,80,110,443,953,2049,3389,5190
to 192.168.0.0/24
65535 854 70408 deny ip from any to any

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "firewall.sh не работает" 
Сообщение от Halt emailИскать по авторуВ закладки(ok) on 07-Окт-05, 16:42  (MSK)
сделай по моему примеру а потом просто правила добавляй свои
разрешающие/запрещающие
запрещающие правила обычно пишут впереди что бы пакет вообще не проверялся дальше если он не нужен на твоей машине, правила с номерами до 100 включительно идут в обход ipfw

и тогда поймешь в чем дело, OPEN это открытый фаервал в моем примере можешь видеть строчку
        ${fwcmd} add 65000 pass all from any to any
она полностью его открывает если OPEN, остальные правила тогда вообще перестают иметь значения кроме divert, все открыто.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 17:09  (MSK)
при перезапуске /etc/netstart заметил странность:

ipfw: illegal divert/tee port
ipfw: hostname ``xl0'' unknown
ipfw: hostname ``xl0'' unknown
ipfw: hostname ``bge0'' unknown
ipfw: hostname ``bge0'' unknown

что это?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "firewall.sh не работает" 
Сообщение от pure Искать по авторуВ закладки on 07-Окт-05, 17:23  (MSK)
>при перезапуске /etc/netstart заметил странность:
>
>ipfw: illegal divert/tee port
>ipfw: hostname ``xl0'' unknown
>ipfw: hostname ``xl0'' unknown
>ipfw: hostname ``bge0'' unknown
>ipfw: hostname ``bge0'' unknown
>
>что это?

тобишь вместо bge0 xl1

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру