forum.opennet.ru - "ipfw under FreeBSD" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw under FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw under FreeBSD"
Сообщение от stalker on 20-Авг-01, 18:28 (MSK)
Привет всем. Добрался я, наконец, до сабжа. Вопросы такие (допускаю, что глупые, но от этого не менее насущные): 1. можно ли явно писать правила для if tun0, через который ppp смотрит в инет. В смысле это хороший тон? 2. не могу научиться делать что-то вроде ... ipfw add 990 pass from me to any 80 out uid nobody (в смысле squid) ipfw add 1000 fwd localhost,3128 tcp from me to any 80 ipfw add 1010 fwd localhost,3128 tcp from 192.168.1.0/24 to any 80 in via wb0 .... (в ядре нужные опции проставил) (в rc.conf gateway_enable=y) .... При этом если идти через сквид, то все - пучком, а если прямо, то тишина (срабатывает последнее правило deny any to any) Где грабли? Понятно, что можно всем клиентам прописать прокси, но хочется научиться жить с прозрачным. 3. если выставляю count, где (чем) смотреть статистику? 4. по каким критериям определить необходимость использования natd? (локалка на wb0, народ ходит в инет через squid, инет, как вы, возможно, догадались через ppp -auto) Моя благодарность не будет иметь границ в предах разумного.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: ipfw under FreeBSD, lexa, 23:14 , 20-Авг-01, (1)
- RE: ipfw under FreeBSD, stalker, 15:13 , 21-Авг-01, (2)
- RE: ipfw under FreeBSD, DmitryDemin, 17:57 , 26-Авг-01, (3)
  - RE: ipfw under FreeBSD, Paul, 04:17 , 27-Авг-01, (4)
    - RE: ipfw under FreeBSD, DmitryDemin, 21:59 , 27-Авг-01, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: ipfw under FreeBSD"

Сообщение от lexa on 20-Авг-01, 23:14  (MSK)

я пользуюсь такой конфой. только вот появляется неприятная мессага от natd: natd[65898]: failed to write packet back (Permission denied), что это и как с этим бороться незнаю ...
[Ll][Ee][Xx][Aa])
# set these to your outside interface network and netmask and ip
        oif="ed0"
        onet="x.x.x.0"
        omask="255.255.255.192"
        oip="x.x.x.x"

# set these to your inside interface network and netmask and ip
        iif="xl0"
        inet="192.168.0.0"
        imask="255.255.255.0"
        iip="192.168.0.5"

# Stop spoofing
        ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}
        ${fwcmd} add 10 deny all from any to 192.168.0.0/16 via ${oif}

# Stop draft-manning-dsua-01.txt nets on the outside interface
        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

# Разрешаем прохождение ICMP пакетов
        ${fwcmd} add pass icmp from any to any

# Завернём всех кто лезет на WWW на squid
        ${fwcmd} add 20 fwd ${iip},8000 tcp from ${inet}:${imask} to any 80
        ${fwcmd} add 30 fwd ${iip},25 tcp from ${inet}:${imask} to any 25

# Разрешаем установленные TCP соединения
        ${fwcmd} add pass tcp from any to any established

# Разрешаем прохождение IP фрагментов
#       ${fwcmd} add pass all from any to any frag
# Разрешаем трафик только в пределах локальной сети
        ${fwcmd} add pass all from ${inet}:${imask} to any via ${iif}

# Разрешаем соединение с SMTP POP3 IMAP серверами
        ${fwcmd} add pass tcp from any to ${oip} 25 setup
        ${fwcmd} add pass tcp from any to ${oip} 110 setup
        ${fwcmd} add pass tcp from any to ${oip} 143 setup

# Разрешаем соединение с SSHD
        ${fwcmd} add pass tcp from any to ${oip} 22 setup

# Разрешаем соединение с FTP
        ${fwcmd} add pass tcp from any to ${oip} 21 setup

# Разрешаем соединение с нашим WWW
        ${fwcmd} add pass tcp from any to ${oip} 80 setup

# Разрешим бегать по FTP не в PASSIV
        ${fwcmd} add pass tcp from any 20 to ${inet}:${imask} 1024-65535 setup

# Разрешаем соединение с нашим DNS
        ${fwcmd} add pass tcp from any to ${oip} 53 setup
        ${fwcmd} add pass udp from any to ${oip} 53
        ${fwcmd} add pass udp from ${oip} 53 to any

# Запрещаем и протоколиреем все остальные попытки соединения снаружи
        ${fwcmd} add reset log tcp from any to any in via ${oif} setup

# Разрешаем установку любого другого TCP подключения
        ${fwcmd} add pass tcp from any to any setup

# Разрешаем DNS запросы
        ${fwcmd} add pass udp from any 53 to ${oip}
        ${fwcmd} add pass udp from ${oip} to any 53

        ${fwcmd} add deny all from any to any
        ;;

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: ipfw under FreeBSD"

Сообщение от stalker on 21-Авг-01, 15:13  (MSK)

Спасибо. Попробую.
И вот еще что:
Как завернуть на сквид локальных клиентов (lynx ...)?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: ipfw under FreeBSD"

Сообщение от DmitryDemin on 26-Авг-01, 17:57  (MSK)

Hi!
># Stop draft-manning-dsua-01.txt nets on the outside interface
>         ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
>        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
>        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
>        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
>         ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
>         ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
>         ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
>         ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
>         ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
>         ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
А что это за адреса и зачем их закрывать?
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: ipfw under FreeBSD"

Сообщение от Paul on 27-Авг-01, 04:17  (MSK)

>А что это за адреса и
>зачем их закрывать?
мультикаст всякий и иже с ним...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: ipfw under FreeBSD"

Сообщение от DmitryDemin on 27-Авг-01, 21:59  (MSK)

Hi!
Сорри, а поподробнее можно? Что такое мультикаст? И что там еще. Как для начинающих, пожалуйста.
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: ipfw under FreeBSD"
Сообщение от lexa on 20-Авг-01, 23:14 (MSK)
я пользуюсь такой конфой. только вот появляется неприятная мессага от natd: natd[65898]: failed to write packet back (Permission denied), что это и как с этим бороться незнаю ... [Ll][Ee][Xx][Aa]) # set these to your outside interface network and netmask and ip oif="ed0" onet="x.x.x.0" omask="255.255.255.192" oip="x.x.x.x" # set these to your inside interface network and netmask and ip iif="xl0" inet="192.168.0.0" imask="255.255.255.0" iip="192.168.0.5" # Stop spoofing ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif} ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif} # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif} ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif} ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif} ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif} ${fwcmd} add 10 deny all from any to 192.168.0.0/16 via ${oif} # Stop draft-manning-dsua-01.txt nets on the outside interface ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif} ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif} ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif} ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif} ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif} ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif} ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif} ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif} ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif} # Разрешаем прохождение ICMP пакетов ${fwcmd} add pass icmp from any to any # Завернём всех кто лезет на WWW на squid ${fwcmd} add 20 fwd ${iip},8000 tcp from ${inet}:${imask} to any 80 ${fwcmd} add 30 fwd ${iip},25 tcp from ${inet}:${imask} to any 25 # Разрешаем установленные TCP соединения ${fwcmd} add pass tcp from any to any established # Разрешаем прохождение IP фрагментов # ${fwcmd} add pass all from any to any frag # Разрешаем трафик только в пределах локальной сети ${fwcmd} add pass all from ${inet}:${imask} to any via ${iif} # Разрешаем соединение с SMTP POP3 IMAP серверами ${fwcmd} add pass tcp from any to ${oip} 25 setup ${fwcmd} add pass tcp from any to ${oip} 110 setup ${fwcmd} add pass tcp from any to ${oip} 143 setup # Разрешаем соединение с SSHD ${fwcmd} add pass tcp from any to ${oip} 22 setup # Разрешаем соединение с FTP ${fwcmd} add pass tcp from any to ${oip} 21 setup # Разрешаем соединение с нашим WWW ${fwcmd} add pass tcp from any to ${oip} 80 setup # Разрешим бегать по FTP не в PASSIV ${fwcmd} add pass tcp from any 20 to ${inet}:${imask} 1024-65535 setup # Разрешаем соединение с нашим DNS ${fwcmd} add pass tcp from any to ${oip} 53 setup ${fwcmd} add pass udp from any to ${oip} 53 ${fwcmd} add pass udp from ${oip} 53 to any # Запрещаем и протоколиреем все остальные попытки соединения снаружи ${fwcmd} add reset log tcp from any to any in via ${oif} setup # Разрешаем установку любого другого TCP подключения ${fwcmd} add pass tcp from any to any setup # Разрешаем DNS запросы ${fwcmd} add pass udp from any 53 to ${oip} ${fwcmd} add pass udp from ${oip} to any 53 ${fwcmd} add deny all from any to any ;;
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: ipfw under FreeBSD"
	Сообщение от stalker on 21-Авг-01, 15:13 (MSK)
	Спасибо. Попробую. И вот еще что: Как завернуть на сквид локальных клиентов (lynx ...)?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: ipfw under FreeBSD"
	Сообщение от DmitryDemin on 26-Авг-01, 17:57 (MSK)
	Hi! ># Stop draft-manning-dsua-01.txt nets on the outside interface > ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif} > ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif} > ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif} > ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif} > ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif} > ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif} > ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif} > ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif} > ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif} > ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif} А что это за адреса и зачем их закрывать? Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: ipfw under FreeBSD"
	Сообщение от Paul on 27-Авг-01, 04:17 (MSK)
	>А что это за адреса и >зачем их закрывать? мультикаст всякий и иже с ним...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: ipfw under FreeBSD"
	Сообщение от DmitryDemin on 27-Авг-01, 21:59 (MSK)
	Hi! Сорри, а поподробнее можно? Что такое мультикаст? И что там еще. Как для начинающих, пожалуйста. Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх