forum.opennet.ru - "FreeBSD 7.1 + NetAMS + ipnat + ipfw" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"FreeBSD 7.1 + NetAMS + ipnat + ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
Сообщение от amfetamin (ok) on 23-Фев-09, 16:29
Доброго времени суток. Я не так давно на фре(неделя или полторы), осознаю что вопросы подобные моим по любому поднимались. Но поюзав поиск, гугл, яндекс и перечитав большую кипу статей, я к сожалению не нашёл ответов на свои вопросы. Что есть. FreeBSD 7.1, NetAMS из портов,трафик заворачиваю дивертом, ipnat и ipfw вкомпиленный в ядро. (апатч,мускул,пхп само собой) собственно вопросы: 1. Хотелось бы понять механику прохождения пакетов сквозь данную связку. Я так понимаю происходит это следующим образом: Пакет от источника в локальной сети попадает на внутренний инт. шлюза, там моё правило ipfw divert заворачивает его в нетамс, нетамс жуёт пакет, говорит что такому товарищу можно в инет (соответственно создан юнит и.т.п.) и вываливает пакет в систему, там его ловит ipnat, меняет ип адрес в заголовке и отправляет на внешний интерфейс, где пакет о5 упирается в ipfw, тут у меня стоит правило,которое разрешает пересылку пакетов из локалки сквозь внешний инт. и пакет вылетает наружу. прав-ли я? Или ipnat ловит пакет уже на выходе внешнего инт. после ipfw? 2. Интересно почитать мнения опытных админов о данной связке, обсчёту подлежат 10-30 компов, не хочется сейчас заморачиваться с netflow и.т.д. Так же был бы признателен если удастся поглядеть на конфиг ipfw при такой связке. (это вообще вариант идеальный). Я просто не понимаю никак где именно писать правила дивертов. ipnat на natd менять не хочется,т.к. сервачок очень слабенький, а за внешним инт. ещё и провайдерская локаль, так что торентеров и дцешников у меня в сети хватает,соединений тьма,благо канал к провайдеру в 1Гб\сек хоть как то облегчает жизнь моей сети =)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

FreeBSD 7.1 + NetAMS + ipnat + ipfw, Merlin_ua, 18:20 , 23-Фев-09, (1)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 18:27 , 23-Фев-09, (2)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, alisherk, 19:33 , 23-Фев-09, (3)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 19:47 , 23-Фев-09, (4)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, tiv, 01:31 , 24-Фев-09, (5)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 01:57 , 24-Фев-09, (6)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, tiv, 02:38 , 24-Фев-09, (7)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 15:55 , 24-Фев-09, (8)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 04:18 , 25-Фев-09, (9)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, Laboremus, 21:33 , 12-Май-09, (10)

FreeBSD 7.1 + NetAMS + ipnat + ipfw, amfetamin, 21:46 , 12-Май-09, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от Merlin_ua (??) on 23-Фев-09, 18:20

Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!! а вобще по фре почитай хендбук!!! это - твоё!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 23-Фев-09, 18:27

>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!!
>а вобще по фре почитай хендбук!!! это - твоё!!!
В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия.
Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через шлюз с бсд во вне.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от alisherk on 23-Фев-09, 19:33

>>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!!
>>а вобще по фре почитай хендбук!!! это - твоё!!!
>
>В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и
>описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия.
>
>Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через
>шлюз с бсд во вне.
раз вы не ас, то пользуйте pf, он попроще будет.
трафик заворачивайте модулем netams для netgraph.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 23-Фев-09, 19:47

>раз вы не ас, то пользуйте pf, он попроще будет.
>трафик заворачивайте модулем netams для netgraph.
Вы как раз во время, уже читаю как организовать данную связку, думаю, что так и буду делать. спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от tiv on 24-Фев-09, 01:31

с ipnat как раз проще всего будет, не нужно следить за правильностью написания правил относительно divert natd, пакеты в ipnat попадут после прохождения правил ipfw, вначале вашего конфига rc.firewall впишите подобное
${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} in
${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} out
а вот с natd как раз нужно четкое понимание прохождения пакетов по правилам фаервола

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 24-Фев-09, 01:57

>с ipnat как раз проще всего будет, не нужно следить за правильностью
>написания правил относительно divert natd, пакеты в ipnat попадут после прохождения
>правил ipfw, вначале вашего конфига rc.firewall впишите подобное
>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>in
>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>out
>а вот с natd как раз нужно четкое понимание прохождения пакетов по
>правилам фаервола
Отлично! значит я на верном пути в своём понимании =) Вы как раз подтверждаете мои мысли. И теперь уже мои пробы и ошибки.
В любом случае я опробую обе связки, хотя бы ради знаний. Тем более полигон в 2 шлюза мне это позволяет :-)
>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>in
>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>out
Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего. Как я понял из статей посвящённых netams и курению доков на их сайте именно на внутренний интерфейс надо сажать амску. Что я и сделал, сейчас всё работает, всё считается.
Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже.
Загвоздка имеется в понимании работы keep-state и established правил, т.к. виндовые приложения обычно всё делали за меня =) например АСС в нетворкшилде.
Думаю завтра уже сам разберусь в какой последовательности и при каких обстоятельствах использовать динамику. Ну или не разберусь и попрошу немного помощи в этом топике)
Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них признателен, т.к. разбираться на готовом примере для меня куда проще.
Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние ресурсы в топиках, но на свой страх и риск...
_http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1
Вот что нашёл,там в середине страницы, тов Vadim Guchenko выкладывает очень интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я ещё не встречал видимо так я и буду делать. Если есть что то подобное, было бы здорово на это поглядеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от tiv on 24-Фев-09, 02:38

>[оверквотинг удален]
>
>>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс}
>>in
>>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс}
>>out
>
>Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего.
>Как я понял из статей посвящённых netams и курению доков на
>их сайте именно на внутренний интерфейс надо сажать амску. Что я
>и сделал, сейчас всё работает, всё считается.
Главное чтобы не просто считалось, а еще и правильно
Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в вашем случае так как вы netams используете на внутреннем интерфейсе то нужно уметь отделить пользовательский внешний трафик от трафика который идет на сам шлюз(ftp, www)
>
>Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже.
есть порт ipfw под windows
>[оверквотинг удален]
>Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них
>признателен, т.к. разбираться на готовом примере для меня куда проще.
>
>Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние
>ресурсы в топиках, но на свой страх и риск...
>_http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1
>Вот что нашёл,там в середине страницы, тов Vadim Guchenko выкладывает очень
>интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я
>ещё не встречал видимо так я и буду делать. Если есть
>что то подобное, было бы здорово на это поглядеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 24-Фев-09, 15:55

>Главное чтобы не просто считалось, а еще и правильно
>Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в
>вашем случае так как вы netams используете на внутреннем интерфейсе то
>нужно уметь отделить пользовательский внешний трафик от трафика который идет на
>сам шлюз(ftp, www)
Насколько я понимаю, отделяется это всё правилами ipfw в определённой последовательности.
exp. Правила разрешающие доступ на мой веб сервер стоят выше диверта на нетамс. Если речь об этом, то я обязательно учту данный факт при построении скрипта с правилами.
А пока что я курю маны по динамическим правилам) В частности пока не понимаю почему вылет юдп протокола с keep-state не создаёт динамическое правило возврата. Похоже всё летит в правило allow tcp from any to any established, хоть и явно указан протокол tcp в нём.
Где то уже видел подобный вопрос, наверна найду и ответ)
>есть порт ipfw под windows
я узнал про ipfw только установив фрибсд) до этого задачи решались на "ура" при помощи однокнопочных приложений =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 25-Фев-09, 04:18

И так. День чтения статей, форумов и манов не прошёл зря, ночь опытов над ipfw + netams + ipnat дала свои плоды.
Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с сабжом, во вне.
Что удалось понять методом научного тыка) А так же подводные камни в заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =)
Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает идти по правилам ipfw с верху в низ, проходит, тут его ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при чём пакет не продолжает движение по правилам ipfw с того места где был зажован в амс,а о5 прётся с самого начала... (что убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается на внешний интерфейс и о5 упирается в ipfw, начинает идти по правилам с верху в низ и если находит дырку вылазит наружу, тут его цепляет ipnat и быстренько перебивает заголовки у пакета.
Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по идее должны работать либо статические правила,что в моём случае не очень секьюрно или динамика, established в частности такое положение дел переваривает на ура,но TCP only это печально =(,а вот keep-state для udp это дело не нравится.
Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило вида allow udp from me to any 53 xmit ${внешний интерфейс}.
При таком положении дел,правило создаётся, но такое же приходится делать и для прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу.
Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже как пакет самой системы и не получается при моей схеме (амс на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в локальной сети до назначения во вне.
Есть у кого нибудь идеи и домыслы по этому поводу? Если я что-то не так понял методом проб и ошибок, прошу поправить.
Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново конфиг ipfw переписывать,а уже хочется баю бай =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от Laboremus (ok) on 12-Май-09, 21:33

>[оверквотинг удален]
>
>Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже
>как пакет самой системы и не получается при моей схеме (амс
>на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в
>локальной сети до назначения во вне.
>
>Есть у кого нибудь идеи и домыслы по этому поводу? Если я
>что-то не так понял методом проб и ошибок, прошу поправить.
>Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново
>конфиг ipfw переписывать,а уже хочется баю бай =)
Не могли ли бы ты показать твою конфигурацию ipfw, так как у меня похожая ситуация но настроить ipfw почему-то не получается?
Получилось ли пересадить NeTAMS на внешний интерфейс?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "FreeBSD 7.1 + NetAMS + ipnat + ipfw" +/–

Сообщение от amfetamin (ok) on 12-Май-09, 21:46

>[оверквотинг удален]
>>локальной сети до назначения во вне.
>>
>>Есть у кого нибудь идеи и домыслы по этому поводу? Если я
>>что-то не так понял методом проб и ошибок, прошу поправить.
>>Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново
>>конфиг ipfw переписывать,а уже хочется баю бай =)
>
>Не могли ли бы ты показать твою конфигурацию ipfw, так как у
>меня похожая ситуация но настроить ipfw почему-то не получается?
>Получилось ли пересадить NeTAMS на внешний интерфейс?
Нет, netams я решил оставить на внутреннем интерфейсе, в принципе ничего страшного от этого не произойдёт, кроме как сервер не сможет учитывать свой собственный трафик. Что для меня не важно.
ipfw как я и писал выше настраивал на подобии этого конфига _http://groups.google.com/group/fido7.ru.unix.bsd/msg/22edb3b5da53efb8?
Очень пригодилось и прочитать всю переписку целиком.
Чтобы было проще разобраться, перечитай то, что я выше писал и возьми карандашик с бумажкой, нарисуй 2 стенки (внешний иф и внутр.) и "поводи" между ними "трафик", сразу поймёшь как это всё будет работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
Сообщение от Merlin_ua (??) on 23-Фев-09, 18:20
Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!! а вобще по фре почитай хендбук!!! это - твоё!!!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 23-Фев-09, 18:27
	>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!! >а вобще по фре почитай хендбук!!! это - твоё!!! В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия. Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через шлюз с бсд во вне.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от alisherk on 23-Фев-09, 19:33
	>>Я не ас в этом деле, но определись каким фаерволом будеш пользоваться!!!! >>а вобще по фре почитай хендбук!!! это - твоё!!! > >В качестве фаервола ipfw, ipnat выполняет функцию НАТа. В хендбуке хоть и >описано всё построчно, но ещё крайне тяжело для моего "мастдайного" восприятия. > >Основная загвоздка это понимание механики происходящих вещей при прохождении пакета изнутри через >шлюз с бсд во вне. раз вы не ас, то пользуйте pf, он попроще будет. трафик заворачивайте модулем netams для netgraph.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 23-Фев-09, 19:47
	>раз вы не ас, то пользуйте pf, он попроще будет. >трафик заворачивайте модулем netams для netgraph. Вы как раз во время, уже читаю как организовать данную связку, думаю, что так и буду делать. спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от tiv on 24-Фев-09, 01:31
	с ipnat как раз проще всего будет, не нужно следить за правильностью написания правил относительно divert natd, пакеты в ipnat попадут после прохождения правил ipfw, вначале вашего конфига rc.firewall впишите подобное ${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} in ${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} out а вот с natd как раз нужно четкое понимание прохождения пакетов по правилам фаервола
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 24-Фев-09, 01:57
	>с ipnat как раз проще всего будет, не нужно следить за правильностью >написания правил относительно divert natd, пакеты в ipnat попадут после прохождения >правил ipfw, вначале вашего конфига rc.firewall впишите подобное >${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} >in >${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} >out >а вот с natd как раз нужно четкое понимание прохождения пакетов по >правилам фаервола Отлично! значит я на верном пути в своём понимании =) Вы как раз подтверждаете мои мысли. И теперь уже мои пробы и ошибки. В любом случае я опробую обе связки, хотя бы ради знаний. Тем более полигон в 2 шлюза мне это позволяет :-) >${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} >in >${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} >out Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего. Как я понял из статей посвящённых netams и курению доков на их сайте именно на внутренний интерфейс надо сажать амску. Что я и сделал, сейчас всё работает, всё считается. Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже. Загвоздка имеется в понимании работы keep-state и established правил, т.к. виндовые приложения обычно всё делали за меня =) например АСС в нетворкшилде. Думаю завтра уже сам разберусь в какой последовательности и при каких обстоятельствах использовать динамику. Ну или не разберусь и попрошу немного помощи в этом топике) Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них признателен, т.к. разбираться на готовом примере для меня куда проще. Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние ресурсы в топиках, но на свой страх и риск... _http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1 Вот что нашёл,там в середине страницы, тов Vadim Guchenko выкладывает очень интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я ещё не встречал видимо так я и буду делать. Если есть что то подобное, было бы здорово на это поглядеть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от tiv on 24-Фев-09, 02:38
	>[оверквотинг удален] > >>${fwcmd} add 50 divert 199 all from any to any via ${внешний_интерфейс} >>in >>${fwcmd} add 60 divert 199 all from any to any via ${внешний_интерфейс} >>out > >Такое есть, уже давно, только не для внешнего интерфейса, а для внутреннего. >Как я понял из статей посвящённых netams и курению доков на >их сайте именно на внутренний интерфейс надо сажать амску. Что я >и сделал, сейчас всё работает, всё считается. Главное чтобы не просто считалось, а еще и правильно Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в вашем случае так как вы netams используете на внутреннем интерфейсе то нужно уметь отделить пользовательский внешний трафик от трафика который идет на сам шлюз(ftp, www) > >Разбираюсь с ipfw, мощная штука, с мастдайными фаерами не сравнить даже. есть порт ipfw под windows >[оверквотинг удален] >Кст. если есть ссылки на большие и прокомментированные конфиги, буду за них >признателен, т.к. разбираться на готовом примере для меня куда проще. > >Я честно говоря пропустил мимо глаз правила насчёт размещения ссылок на сторонние >ресурсы в топиках, но на свой страх и риск... >_http://groups.google.com/group/fido7.ru.unix.bsd/browse_thread/thread/292c739d0eed494a/22edb3b5da53efb8?pli=1 >Вот что нашёл,там в середине страницы, тов Vadim Guchenko выкладывает очень >интересную концепцию конфига для ipfw, нигде подобного подхода в примерах я >ещё не встречал видимо так я и буду делать. Если есть >что то подобное, было бы здорово на это поглядеть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 24-Фев-09, 15:55
	>Главное чтобы не просто считалось, а еще и правильно >Тут много нужно чего учитывать, трафик самого шлюза на внешним интерфейсе, в >вашем случае так как вы netams используете на внутреннем интерфейсе то >нужно уметь отделить пользовательский внешний трафик от трафика который идет на >сам шлюз(ftp, www) Насколько я понимаю, отделяется это всё правилами ipfw в определённой последовательности. exp. Правила разрешающие доступ на мой веб сервер стоят выше диверта на нетамс. Если речь об этом, то я обязательно учту данный факт при построении скрипта с правилами. А пока что я курю маны по динамическим правилам) В частности пока не понимаю почему вылет юдп протокола с keep-state не создаёт динамическое правило возврата. Похоже всё летит в правило allow tcp from any to any established, хоть и явно указан протокол tcp в нём. Где то уже видел подобный вопрос, наверна найду и ответ) >есть порт ipfw под windows я узнал про ipfw только установив фрибсд) до этого задачи решались на "ура" при помощи однокнопочных приложений =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 25-Фев-09, 04:18
	И так. День чтения статей, форумов и манов не прошёл зря, ночь опытов над ipfw + netams + ipnat дала свои плоды. Уяснил для себя механику прохождения пакета из локальной сети сквозь шлюз с сабжом, во вне. Что удалось понять методом научного тыка) А так же подводные камни в заворачивании трафика на нетамс с внутреннего интерфейса. Авось кому пригодится =) Пакет из локальной сети летит на внутренний интерфейс шлюза,упирается в фаервол, начинает идти по правилам ipfw с верху в низ, проходит, тут его ловит нетамс (диверт в начале правил),жуёт и выплёвывает в систему, при чём пакет не продолжает движение по правилам ipfw с того места где был зажован в амс,а о5 прётся с самого начала... (что убило напрочь мои попытки сделать красивый модульный конфиг у ipfw) далее соединение инициализирует не адрес в локальной сети,а "me"... т.е. сама система (что жутко бесит и крайне не удобно), такой генно-модифицированный пакет пересылается на внешний интерфейс и о5 упирается в ipfw, начинает идти по правилам с верху в низ и если находит дырку вылазит наружу, тут его цепляет ipnat и быстренько перебивает заголовки у пакета. Ответ на такой запрос идёт прямиком на наш внешний интерфейс, тут по идее должны работать либо статические правила,что в моём случае не очень секьюрно или динамика, established в частности такое положение дел переваривает на ура,но TCP only это печально =(,а вот keep-state для udp это дело не нравится. Т.е. keep-state хочет для создания динамического правила (скажем для ДНС резольва), правило вида allow udp from me to any 53 xmit ${внешний интерфейс}. При таком положении дел,правило создаётся, но такое же приходится делать и для прохода во внутреннюю сеть, или разрешать весь трафик по внутреннему интерфейсу. Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже как пакет самой системы и не получается при моей схеме (амс на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в локальной сети до назначения во вне. Есть у кого нибудь идеи и домыслы по этому поводу? Если я что-то не так понял методом проб и ошибок, прошу поправить. Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново конфиг ipfw переписывать,а уже хочется баю бай =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от Laboremus (ok) on 12-Май-09, 21:33
	>[оверквотинг удален] > >Смысл в том, что нетамс отдаёт системе завёрнутый на него пакет уже >как пакет самой системы и не получается при моей схеме (амс >на внутреннем инт.) реализовать сквозную динамику (1 правилом) от источника в >локальной сети до назначения во вне. > >Есть у кого нибудь идеи и домыслы по этому поводу? Если я >что-то не так понял методом проб и ошибок, прошу поправить. >Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново >конфиг ipfw переписывать,а уже хочется баю бай =) Не могли ли бы ты показать твою конфигурацию ipfw, так как у меня похожая ситуация но настроить ipfw почему-то не получается? Получилось ли пересадить NeTAMS на внешний интерфейс?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "FreeBSD 7.1 + NetAMS + ipnat + ipfw"		+/–
	Сообщение от amfetamin (ok) on 12-Май-09, 21:46
	>[оверквотинг удален] >>локальной сети до назначения во вне. >> >>Есть у кого нибудь идеи и домыслы по этому поводу? Если я >>что-то не так понял методом проб и ошибок, прошу поправить. >>Так-же пока не пробовал пересадить нетамс на внешний интерфейс, это фактически заново >>конфиг ipfw переписывать,а уже хочется баю бай =) > >Не могли ли бы ты показать твою конфигурацию ipfw, так как у >меня похожая ситуация но настроить ipfw почему-то не получается? >Получилось ли пересадить NeTAMS на внешний интерфейс? Нет, netams я решил оставить на внутреннем интерфейсе, в принципе ничего страшного от этого не произойдёт, кроме как сервер не сможет учитывать свой собственный трафик. Что для меня не важно. ipfw как я и писал выше настраивал на подобии этого конфига _http://groups.google.com/group/fido7.ru.unix.bsd/msg/22edb3b5da53efb8? Очень пригодилось и прочитать всю переписку целиком. Чтобы было проще разобраться, перечитай то, что я выше писал и возьми карандашик с бумажкой, нарисуй 2 стенки (внешний иф и внутр.) и "поводи" между ними "трафик", сразу поймёшь как это всё будет работать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]