forum.opennet.ru - "Непонятки с ipfw" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Непонятки с ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Непонятки с ipfw"
Сообщение от federal (ok) on 17-Июл-06, 14:56
Здравствуйте, какие-то непонятки с freebsd 6.1. Есть 3 внутренних сети, 135.135.13{5,6,7}.1/24. На инет смотрит интерфейс rl0. rc.conf gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" natd_enable="YES" natd_interface="rl0" natd_flags="" #natd_flags="-f /etc/natd.conf" Соответственно правила создаются: 00050 divert 8668 ip4 from any to any via rl0 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 65000 allow ip from any to any 65535 deny ip from any to any Мне надо, чтобы все эти три локальных сети имели доступ только на порты 21,5190,110,25 Убираю правило 00050, ставлю (К ПРИМЕРУ) доступ только для своей машины 00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0 Но, ничего не работает, пакеты на эти порты вообще не идут, да они и вообще никуда не идут :) Причём, какие только я уже правила не вписывал, пока не впишешь --> divert 8668 ip4 from any to any via rl0 <--- ничего не работает. Пробывал эту строку вообще не удалять, а писать правила перед ней, всё-равно ничего не работает. Мне кажется что тут кокраз всё кроется в ipv4, может ошибаюсь. Объясните пожалуйста в чём дело. Спасибо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Непонятки с ipfw, butcher, 15:33 , 17-Июл-06, (1)

Непонятки с ipfw, federal, 15:47 , 17-Июл-06, (2)

Непонятки с ipfw, RetaL, 18:07 , 17-Июл-06, (3)

Непонятки с ipfw, Hammer, 07:51 , 19-Июл-06, (4)

Непонятки с ipfw, federal, 10:30 , 19-Июл-06, (5)

Непонятки с ipfw, RetaL, 14:09 , 19-Июл-06, (6)

Непонятки с ipfw, Fagor, 14:39 , 19-Июл-06, (7)
Непонятки с ipfw, federal, 13:06 , 25-Июл-06, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Непонятки с ipfw"

Сообщение от butcher (ok) on 17-Июл-06, 15:33

>ставлю (К ПРИМЕРУ) доступ только для своей машины
>00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0
А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например:
add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out xmit rl0
add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in recv rl0
PS. фтп с такими правилами у вас работать не будет.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Непонятки с ipfw"

Сообщение от federal (??) on 17-Июл-06, 15:47

>>ставлю (К ПРИМЕРУ) доступ только для своей машины
>>00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0
>
>А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например:
>
>
>add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out
>xmit rl0
>add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in
>recv rl0
>
>PS. фтп с такими правилами у вас работать не будет.

Без 00050 divert 8668 ip4 from any to any via rl0
Пробывал я, всё-равно без строки "00050 divert 8668 ip4 from any to any via rl0" не работает.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Непонятки с ipfw"

Сообщение от RetaL (ok) on 17-Июл-06, 18:07

Я сделал таким образом:
45000  divert 8668 ip from any to 199.99.199.99 recv isp0
45002  divert 8668 ip from 192.168.1.2 to any out xmit isp0
45102  allow ip from 192.168.1.2 to any
45102  allow ip from any to 192.168.1.2
65535  deny ip from any to any
isp0 - интерфейс на провайдера
199.99.199.99 - внешний IP
192.168.1.2 - моя машинка
и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные порты) out xmit isp0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Непонятки с ipfw"

Сообщение от Hammer (ok) on 19-Июл-06, 07:51

45002  divert 8668 ip from 192.168.1.2 to any out xmit isp0

>и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные
>порты) out xmit isp0
Не будет работать тк порты можно добавить только к tcp или udp, а утебя IP те "all".

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Непонятки с ipfw"

Сообщение от federal (??) on 19-Июл-06, 10:30

Дык кто-нибудь может подсказать в чём дело? и как ситуацию исправить?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Непонятки с ipfw"

Сообщение от RetaL (ok) on 19-Июл-06, 14:09

Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
Но все равно, это лечится, только что на своем серваке провернул:
45000  divert 8668 ip from any to 199.99.199.99 recv isp0
45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit isp0
45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit isp0
45081 allow tcp from 192.168.4.24 to any dst-port 25
45081 allow tcp from any 25 to 192.168.4.24
45081 allow tcp from any 20,21 to 192.168.4.24
45081 allow tcp from 192.168.4.24 to any dst-port 20,21
И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Непонятки с ipfw"

Сообщение от Fagor (??) on 19-Июл-06, 14:39

>Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
>Но все равно, это лечится, только что на своем серваке провернул:
>
>45000  divert 8668 ip from any to 199.99.199.99 recv isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit
>isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit
>isp0
>45081 allow tcp from 192.168.4.24 to any dst-port 25
>45081 allow tcp from any 25 to 192.168.4.24
>45081 allow tcp from any 20,21 to 192.168.4.24
>45081 allow tcp from 192.168.4.24 to any dst-port 20,21
>
>И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

что-то ветка на флейм уже смахивает, если что можно в аську 63902229

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Непонятки с ipfw"

Сообщение от federal (ok) on 25-Июл-06, 13:06

>Да, уж тупанул малость, это я сворачивал на конкретные айпишники.
>Но все равно, это лечится, только что на своем серваке провернул:
>
>45000  divert 8668 ip from any to 199.99.199.99 recv isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit
>isp0
>45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit
>isp0
>45081 allow tcp from 192.168.4.24 to any dst-port 25
>45081 allow tcp from any 25 to 192.168.4.24
>45081 allow tcp from any 20,21 to 192.168.4.24
>45081 allow tcp from 192.168.4.24 to any dst-port 20,21
>
>И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!

Всем большое спасибо за помощь, всё настроил :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятки с ipfw"
Сообщение от butcher (ok) on 17-Июл-06, 15:33
>ставлю (К ПРИМЕРУ) доступ только для своей машины >00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0 А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например: add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out xmit rl0 add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in recv rl0 PS. фтп с такими правилами у вас работать не будет.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Непонятки с ipfw"
	Сообщение от federal (??) on 17-Июл-06, 15:47
	>>ставлю (К ПРИМЕРУ) доступ только для своей машины >>00050 divert 8668 tcp from 135.135.135.2 to any dst-port 21,5190,25,110 via rl0 > >А обратное правило? Чтобы не было путаницы, указывайте направление в правилах, например: > > >add 50 divert natd tcp from 135.135.135.2 to any dst-port 21,25,110,5190 out >xmit rl0 >add 50 divert natd tcp from any to ${ext_address} src-port 21,25,110,5190 in >recv rl0 > >PS. фтп с такими правилами у вас работать не будет. Без 00050 divert 8668 ip4 from any to any via rl0 Пробывал я, всё-равно без строки "00050 divert 8668 ip4 from any to any via rl0" не работает.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "Непонятки с ipfw"
Сообщение от RetaL (ok) on 17-Июл-06, 18:07
Я сделал таким образом: 45000 divert 8668 ip from any to 199.99.199.99 recv isp0 45002 divert 8668 ip from 192.168.1.2 to any out xmit isp0 45102 allow ip from 192.168.1.2 to any 45102 allow ip from any to 192.168.1.2 65535 deny ip from any to any isp0 - интерфейс на провайдера 199.99.199.99 - внешний IP 192.168.1.2 - моя машинка и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные порты) out xmit isp0
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Непонятки с ipfw"
	Сообщение от Hammer (ok) on 19-Июл-06, 07:51
	45002 divert 8668 ip from 192.168.1.2 to any out xmit isp0 >и теперь в правиле 45002 можно писать from 192.168.1.2 to any (нужные >порты) out xmit isp0 Не будет работать тк порты можно добавить только к tcp или udp, а утебя IP те "all".
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Непонятки с ipfw"
	Сообщение от federal (??) on 19-Июл-06, 10:30
	Дык кто-нибудь может подсказать в чём дело? и как ситуацию исправить?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Непонятки с ipfw"
	Сообщение от RetaL (ok) on 19-Июл-06, 14:09
	Да, уж тупанул малость, это я сворачивал на конкретные айпишники. Но все равно, это лечится, только что на своем серваке провернул: 45000 divert 8668 ip from any to 199.99.199.99 recv isp0 45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit isp0 45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit isp0 45081 allow tcp from 192.168.4.24 to any dst-port 25 45081 allow tcp from any 25 to 192.168.4.24 45081 allow tcp from any 20,21 to 192.168.4.24 45081 allow tcp from 192.168.4.24 to any dst-port 20,21 И теперь только FTP и SMTP с этого айпишника уходят наружу!!!!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Непонятки с ipfw"
	Сообщение от Fagor (??) on 19-Июл-06, 14:39
	>Да, уж тупанул малость, это я сворачивал на конкретные айпишники. >Но все равно, это лечится, только что на своем серваке провернул: > >45000 divert 8668 ip from any to 199.99.199.99 recv isp0 >45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit >isp0 >45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit >isp0 >45081 allow tcp from 192.168.4.24 to any dst-port 25 >45081 allow tcp from any 25 to 192.168.4.24 >45081 allow tcp from any 20,21 to 192.168.4.24 >45081 allow tcp from 192.168.4.24 to any dst-port 20,21 > >И теперь только FTP и SMTP с этого айпишника уходят наружу!!!! что-то ветка на флейм уже смахивает, если что можно в аську 63902229
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Непонятки с ipfw"
	Сообщение от federal (ok) on 25-Июл-06, 13:06
	>Да, уж тупанул малость, это я сворачивал на конкретные айпишники. >Но все равно, это лечится, только что на своем серваке провернул: > >45000 divert 8668 ip from any to 199.99.199.99 recv isp0 >45080 divert 8668 tcp from 192.168.4.24 to any dst-port 25 out xmit >isp0 >45080 divert 8668 tcp from 192.168.4.24 to any dst-port 20,21 out xmit >isp0 >45081 allow tcp from 192.168.4.24 to any dst-port 25 >45081 allow tcp from any 25 to 192.168.4.24 >45081 allow tcp from any 20,21 to 192.168.4.24 >45081 allow tcp from 192.168.4.24 to any dst-port 20,21 > >И теперь только FTP и SMTP с этого айпишника уходят наружу!!!! Всем большое спасибо за помощь, всё настроил :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]