forum.opennet.ru - "настройка ipfw" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"настройка ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"настройка ipfw"
Сообщение от jah (ok) on 27-Июн-08, 13:48
Здравствуйте, в процессе сборки и установки прозрачного прокси сервера на базе FreeBSD + ipfw + squid появилось несколько вопросов. 1) при настройке ipfw при помощи гугла был создан файл firewall.sh который если я правильно понимаю при старте системы описывает правила работы фаервола, сервер пропускает в интернет, разрешает ходить по сайтам т.к. при сборке была указана опция - всем можно все, такая специфика работы нашей организации (доступ только к определенным сайтам может серьезно задержать работу, поэтому блокируем только то что не нужно, постоянно отслеживая сетевую активность пользователей). И при настройке прозрачного прокси, я постоянно наталкиваюсь на советы по добавлению каких либо строчек в rc.firewall, подскажите пожалуйста, надо ли редактировать конкретно этот файл или можно добавлять правила форвардинга прямо в firewall.sh, и какую роль играет rc.firewall, возможно ли использовать в работе только лишь firewall.sh? 2) Где можно найти более понятное широкому кругу пользователей руководство по ipfw? 3) Удаляются ли конфигурационные файлы при установке нового ядра? (в данный момент пересобираю ядро для поддержки форвардинга и настройки прозрачного прокси) Подобную систему собираю первый раз, пока вроде особых проблем не возникало, но с ipfw все таки не очень все понятно, хотелось бы почитать развернутое и доступное руководство.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

настройка ipfw, Vovan, 15:03 , 27-Июн-08, (1)

настройка ipfw, jah, 15:08 , 27-Июн-08, (2)

настройка ipfw, Vovan, 15:17 , 27-Июн-08, (3)
настройка ipfw, hate, 15:22 , 27-Июн-08, (4)

настройка ipfw, jah, 15:40 , 27-Июн-08, (5)

настройка ipfw, art, 19:49 , 27-Июн-08, (6)

настройка ipfw, mg, 01:57 , 30-Июн-08, (7)

настройка ipfw, PavelR, 08:01 , 30-Июн-08, (8)

настройка ipfw, mg, 18:57 , 30-Июн-08, (9)

настройка ipfw, Иван, 13:27 , 01-Июл-08, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "настройка ipfw"

Сообщение от Vovan (??) on 27-Июн-08, 15:03

>при сборке
>была указана опция - всем можно все, такая специфика работы нашей
>организации (доступ только к определенным сайтам может серьезно задержать работу,
Тогда зачем вам вообще фаирвал? =))
>И при настройке прозрачного прокси, я постоянно наталкиваюсь на советы по
>добавлению каких либо строчек в rc.firewall, подскажите пожалуйста, надо ли >редактировать конкретно этот файл или можно добавлять правила форвардинга прямо в >firewall.sh,
>и какую роль играет rc.firewall, возможно ли использовать в работе только
>лишь firewall.sh?
rc.firewall мона не трогать. все правила по умолчанию беруцо из firewall.sh, если не указан другой.
>2) Где можно найти более понятное широкому кругу пользователей руководство по ipfw?
man ipfw
>3) Удаляются ли конфигурационные файлы при установке нового ядра? (в данный момент
>пересобираю ядро для поддержки форвардинга и настройки прозрачного прокси)
>
>Подобную систему собираю первый раз, пока вроде особых проблем не возникало, но
>с ipfw все таки не очень все понятно, хотелось бы почитать
>развернутое и доступное руководство.
Нет не удаляются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "настройка ipfw"

Сообщение от jah (ok) on 27-Июн-08, 15:08

а где указываются источники правил? и играет ли какую то роль расположение правил в файле, как например в squid.conf?
ну а фаервол нужен ибо начальник сказал - Надо!
значит надо.
Или я что то делаю не так, только что в голову пришло что надо все всем запретить, и открыть доступ по портам, а потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "настройка ipfw"

Сообщение от Vovan (??) on 27-Июн-08, 15:17

>а где указываются источники правил? и играет ли какую то роль расположение
>правил в файле, как например в squid.conf?
Конечно играет. Правила применяются сверху вниз.
>ну а фаервол нужен ибо начальник сказал - Надо!
>значит надо.
Вы написали что всё должно быть открыто. По этому я и написал зачем тогда фаирвол? ))
>Или я что то делаю не так, только что в голову пришло
>что надо все всем запретить, и открыть доступ по портам, а
>потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю?
Ну вообще то так и нужно делать.
Всё запретить, а потом нужное разрешать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "настройка ipfw"

Сообщение от hate on 27-Июн-08, 15:22

>Или я что то делаю не так, только что в голову пришло
>что надо все всем запретить, и открыть доступ по портам, а
>потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю?
Сначала читают документацию, а потом думают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "настройка ipfw"

Сообщение от jah (ok) on 27-Июн-08, 15:40

> Сначала читают документацию, а потом думают.
Если честно опыта маловато в настройке фаерволов, да и FreeBSD первый раз настраиваю для серьезных целей и эксплуатации в обьемах организации. Приношу Вам свои искренние извинения что заставил Вас читать сей топик, я никак не предполагал что этот форум только для тех кто уже все умеет и знает.
Кстати сначала почитал, подумал и сделал. Да, неправильно, но не ошибается только тот, кто ничего не делает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "настройка ipfw"

Сообщение от art (??) on 27-Июн-08, 19:49

http://www.lissyara.su/?id=1356
еще поброди по форумам на данном сайте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "настройка ipfw"

Сообщение от mg (??) on 30-Июн-08, 01:57

>[оверквотинг удален]
>и какую роль играет rc.firewall, возможно ли использовать в работе только
>лишь firewall.sh?
>2) Где можно найти более понятное широкому кругу пользователей руководство по ipfw?
>
>3) Удаляются ли конфигурационные файлы при установке нового ядра? (в данный момент
>пересобираю ядро для поддержки форвардинга и настройки прозрачного прокси)
>
>Подобную систему собираю первый раз, пока вроде особых проблем не возникало, но
>с ipfw все таки не очень все понятно, хотелось бы почитать
>развернутое и доступное руководство.
В ipfw есть одна маленькая и очень тонкая особенность, о кторой кстати я ни от кого так и не услышал, и обнаружил её только уже будучи год под фришкой. Особенность в том что если пакет отработал на каком-то правиле даже на разрешающем правиле, то далее он уже не обрабатывается. Что это означает? Да очень просто, если вы первым правилом делаете разрешить пакеты на вход , а вторым правилом перенаправить все пакеты в НАТ, то у того кому вы разрешили вход пакеты никогда не попадут в НАТ и соответственно у него не будет инета :)
Выглядит очень смешно. Вот пример
${ipfw} add 200 pass all from ${ournet} to any
${ipfw} add 510 divert natd all from ${ournet} to any via ${ifout}
И всё, ни у кого нет интернета и нет ни одного запрещающего правила! :)
Грабли которые не описаны ни в одной доке по ipfw.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "настройка ipfw"

Сообщение от PavelR (??) on 30-Июн-08, 08:01

>И всё, ни у кого нет интернета и нет ни одного запрещающего
>правила! :)
>Грабли которые не описаны ни в одной доке по ipfw.
Че правда чтоли ? А внимательно читать официальную документацию - не судьба ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "настройка ipfw"

Сообщение от mg (??) on 30-Июн-08, 18:57

>
>>И всё, ни у кого нет интернета и нет ни одного запрещающего
>>правила! :)
>>Грабли которые не описаны ни в одной доке по ipfw.
>
>Че правда чтоли ? А внимательно читать официальную документацию - не судьба
>?
Вот вам вырезка на кусок, котрый вы имеете ввиду ( надеюсь переводу доверяете, или вам показать английский вариант неменее путанно написанный ?)
"...Конфигурация брандмауэра выполняется при помощи списка нумерованных правил. Брандмауэр проверяет по этим правилам каждых входящий и исходящий IP-пакет, пока не будет найдено соответствующее правило. После того, как соответствующее правило найдено, пакеты могут быть введены в брандмауэр в соответствии с правилом повторно в зависимости от характера дейстия, определяемого этим правилом, а также системных установок. Все правила применимы для всех сетевых интерфейсов, так что ответственность системного администратора - записать установки правила так, чтобы пусть проверки был минимальным. ..." Это ман :).
Сколько людей по этому огрызку поймёт то что я описал выше? Ни один человек! Потому что написаны общие слова, а ведь это ключевой момент!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "настройка ipfw"

Сообщение от Иван (??) on 01-Июл-08, 13:27

>[оверквотинг удален]
>у него не будет инета :)
>Выглядит очень смешно. Вот пример
>
>${ipfw} add 200 pass all from ${ournet} to any
>${ipfw} add 510 divert natd all from ${ournet} to any via ${ifout}
>
>
>И всё, ни у кого нет интернета и нет ни одного запрещающего
>правила! :)
>Грабли которые не описаны ни в одной доке по ipfw.
sysctl net.inet.ip.firewall.one_pass

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настройка ipfw"
Сообщение от Vovan (??) on 27-Июн-08, 15:03
>при сборке >была указана опция - всем можно все, такая специфика работы нашей >организации (доступ только к определенным сайтам может серьезно задержать работу, Тогда зачем вам вообще фаирвал? =)) >И при настройке прозрачного прокси, я постоянно наталкиваюсь на советы по >добавлению каких либо строчек в rc.firewall, подскажите пожалуйста, надо ли >редактировать конкретно этот файл или можно добавлять правила форвардинга прямо в >firewall.sh, >и какую роль играет rc.firewall, возможно ли использовать в работе только >лишь firewall.sh? rc.firewall мона не трогать. все правила по умолчанию беруцо из firewall.sh, если не указан другой. >2) Где можно найти более понятное широкому кругу пользователей руководство по ipfw? man ipfw >3) Удаляются ли конфигурационные файлы при установке нового ядра? (в данный момент >пересобираю ядро для поддержки форвардинга и настройки прозрачного прокси) > >Подобную систему собираю первый раз, пока вроде особых проблем не возникало, но >с ipfw все таки не очень все понятно, хотелось бы почитать >развернутое и доступное руководство. Нет не удаляются.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "настройка ipfw"
	Сообщение от jah (ok) on 27-Июн-08, 15:08
	а где указываются источники правил? и играет ли какую то роль расположение правил в файле, как например в squid.conf? ну а фаервол нужен ибо начальник сказал - Надо! значит надо. Или я что то делаю не так, только что в голову пришло что надо все всем запретить, и открыть доступ по портам, а потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "настройка ipfw"
	Сообщение от Vovan (??) on 27-Июн-08, 15:17
	>а где указываются источники правил? и играет ли какую то роль расположение >правил в файле, как например в squid.conf? Конечно играет. Правила применяются сверху вниз. >ну а фаервол нужен ибо начальник сказал - Надо! >значит надо. Вы написали что всё должно быть открыто. По этому я и написал зачем тогда фаирвол? )) >Или я что то делаю не так, только что в голову пришло >что надо все всем запретить, и открыть доступ по портам, а >потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю? Ну вообще то так и нужно делать. Всё запретить, а потом нужное разрешать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "настройка ipfw"
	Сообщение от hate on 27-Июн-08, 15:22
	>Или я что то делаю не так, только что в голову пришло >что надо все всем запретить, и открыть доступ по портам, а >потом уже на проксе отрубать доступ к нежелательным ресурсам. Верно думаю? Сначала читают документацию, а потом думают.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "настройка ipfw"
	Сообщение от jah (ok) on 27-Июн-08, 15:40
	> Сначала читают документацию, а потом думают. Если честно опыта маловато в настройке фаерволов, да и FreeBSD первый раз настраиваю для серьезных целей и эксплуатации в обьемах организации. Приношу Вам свои искренние извинения что заставил Вас читать сей топик, я никак не предполагал что этот форум только для тех кто уже все умеет и знает. Кстати сначала почитал, подумал и сделал. Да, неправильно, но не ошибается только тот, кто ничего не делает
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "настройка ipfw"
	Сообщение от art (??) on 27-Июн-08, 19:49
	http://www.lissyara.su/?id=1356 еще поброди по форумам на данном сайте
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "настройка ipfw"
Сообщение от mg (??) on 30-Июн-08, 01:57
>[оверквотинг удален] >и какую роль играет rc.firewall, возможно ли использовать в работе только >лишь firewall.sh? >2) Где можно найти более понятное широкому кругу пользователей руководство по ipfw? > >3) Удаляются ли конфигурационные файлы при установке нового ядра? (в данный момент >пересобираю ядро для поддержки форвардинга и настройки прозрачного прокси) > >Подобную систему собираю первый раз, пока вроде особых проблем не возникало, но >с ipfw все таки не очень все понятно, хотелось бы почитать >развернутое и доступное руководство. В ipfw есть одна маленькая и очень тонкая особенность, о кторой кстати я ни от кого так и не услышал, и обнаружил её только уже будучи год под фришкой. Особенность в том что если пакет отработал на каком-то правиле даже на разрешающем правиле, то далее он уже не обрабатывается. Что это означает? Да очень просто, если вы первым правилом делаете разрешить пакеты на вход , а вторым правилом перенаправить все пакеты в НАТ, то у того кому вы разрешили вход пакеты никогда не попадут в НАТ и соответственно у него не будет инета :) Выглядит очень смешно. Вот пример ${ipfw} add 200 pass all from ${ournet} to any ${ipfw} add 510 divert natd all from ${ournet} to any via ${ifout} И всё, ни у кого нет интернета и нет ни одного запрещающего правила! :) Грабли которые не описаны ни в одной доке по ipfw.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "настройка ipfw"
	Сообщение от PavelR (??) on 30-Июн-08, 08:01
	>И всё, ни у кого нет интернета и нет ни одного запрещающего >правила! :) >Грабли которые не описаны ни в одной доке по ipfw. Че правда чтоли ? А внимательно читать официальную документацию - не судьба ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "настройка ipfw"
	Сообщение от mg (??) on 30-Июн-08, 18:57
	> >>И всё, ни у кого нет интернета и нет ни одного запрещающего >>правила! :) >>Грабли которые не описаны ни в одной доке по ipfw. > >Че правда чтоли ? А внимательно читать официальную документацию - не судьба >? Вот вам вырезка на кусок, котрый вы имеете ввиду ( надеюсь переводу доверяете, или вам показать английский вариант неменее путанно написанный ?) "...Конфигурация брандмауэра выполняется при помощи списка нумерованных правил. Брандмауэр проверяет по этим правилам каждых входящий и исходящий IP-пакет, пока не будет найдено соответствующее правило. После того, как соответствующее правило найдено, пакеты могут быть введены в брандмауэр в соответствии с правилом повторно в зависимости от характера дейстия, определяемого этим правилом, а также системных установок. Все правила применимы для всех сетевых интерфейсов, так что ответственность системного администратора - записать установки правила так, чтобы пусть проверки был минимальным. ..." Это ман :). Сколько людей по этому огрызку поймёт то что я описал выше? Ни один человек! Потому что написаны общие слова, а ведь это ключевой момент!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "настройка ipfw"
	Сообщение от Иван (??) on 01-Июл-08, 13:27
	>[оверквотинг удален] >у него не будет инета :) >Выглядит очень смешно. Вот пример > >${ipfw} add 200 pass all from ${ournet} to any >${ipfw} add 510 divert natd all from ${ournet} to any via ${ifout} > > >И всё, ни у кого нет интернета и нет ни одного запрещающего >правила! :) >Грабли которые не описаны ни в одной доке по ipfw. sysctl net.inet.ip.firewall.one_pass
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]