The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает доступ в интернет ни почта"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Не работает доступ в интернет ни почта"  +/
Сообщение от kozyr76 on 08-Июл-09, 00:14 
Здравствуйте, уважаемые специалисты! Прочитал кучу литературы, брал за основу много конфигураций файерволлов, но к сожалению ни интернет, ни почта (25-110) так и не заработали. Система установлена FreeBsd 7.2. Приведу пример ipfw.conf. Очень нужна помощь. Реально работает только ssh.

FwCMD="/sbin/ipfw"
LanOut="rl0" внешний интерфейс
LanIn="re0" внутр. интерфейс
IpOut="xxx.xxx.xxx.xxx"
IpIn="yyy.yyy.yyy.yyy"
NetMask="24"


NetIn="10.17.13.0" # Внутренняя сеть

${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any


${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow ip from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any

rc.config:
firewall_enable ="YES"
firewall_script="/etc/ipfw.conf"

named_enable="YES"
inetd_enable="YES"
natd_enable="YES"
natd_interface="re0"

ifconfig re0= "xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig rl0= "yyy.yyy.yyy.yyy netmask 255.255.255.0"
defaultrouter="zzz.zzz.zzz.zzz
getaway_enable="YES"

остальное не буду...

сетевые карты рабочие. С сервера все пингуется и dns имена тоже, устанавливаются любые проги из портов. Прошу помочь.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает доступ в интернет ни почта"  +/
Сообщение от kozyr76 on 08-Июл-09, 00:16 
PS локальные машины в инет так и немогут выйти
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает доступ в интернет ни почта"  +/
Сообщение от Deac (ok) on 08-Июл-09, 05:03 
Эти правила NATят подсеть 10.17.13.0
>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

А вот это рубит всё на корню
>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}

Пораскинь мозгами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает доступ в интернет ни почта"  +/
Сообщение от PavelR (??) on 08-Июл-09, 09:14 
>Эти правила NATят подсеть 10.17.13.0
>>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
>
>А вот это рубит всё на корню
>>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
>
>Пораскинь мозгами.

Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать не умеешь.

В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, не знаю), и под правило "рубит всё на корню" подпадать не должен.


Автору топика: хотите чтобы вам помогли - показывайте "ipfw sh".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает доступ в интернет ни почта"  +/
Сообщение от kozyr76 on 08-Июл-09, 09:56 
ipfw sh это и есть конфиг файерволла. /etc/ipfw.conf/ В rc.conf так и указано...Может, что не так, поясните...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает доступ в интернет ни почта"  +/
Сообщение от Deac (ok) on 08-Июл-09, 18:05 
>[оверквотинг удален]
>>Пораскинь мозгами.
>
>Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать
>не умеешь.
>
>В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из
>подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится
>на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей,
>не знаю), и под правило "рубит всё на корню" подпадать не
>должен.

Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо и исходную подсеть и адрес внешнего интерфейса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает доступ в интернет ни почта"  +/
Сообщение от kozyr76 on 08-Июл-09, 22:17 
Прошу покажите строки какие надо изменить
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает доступ в интернет ни почта"  +/
Сообщение от Deac (ok) on 09-Июл-09, 00:17 
>Прошу покажите строки какие надо изменить

1. Cтроку для удаления я уже указал.
2. Брать firewall из доков не лучший вариант.
3. Используй таблицы.
4. Ищи по форуму, этого добра полно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает доступ в интернет ни почта"  +/
Сообщение от kozyr76 on 09-Июл-09, 08:53 
удалил строку, но безрезультатно....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает доступ в интернет ни почта"  +/
Сообщение от бусик on 09-Июл-09, 09:10 
>удалил строку, но безрезультатно....

LanOut="rl0" внешний интерфейс
LanIn="re0" внутр. интерфейс

тогда почему в rc.conf natd_interface="re0" ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает доступ в интернет ни почта"  +/
Сообщение от PavelR (??) on 09-Июл-09, 10:22 
>
>Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо
>и исходную подсеть и адрес внешнего интерфейса.

Типичное мнение человека, не понимающего последовательность прохождения пакета по файрволу ipfw, точнее того аспекта, что пакет пройдет через файрволл дважды - на входе в рутер и на выходе из него.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает доступ в интернет ни почта"  +/
Сообщение от Deac (ok) on 09-Июл-09, 12:34 

>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
Дальше пакет возвращается в ipfw, если не указан one pass.
В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx", через который собственно и осуществляется доступ в интернет, примерно так:
allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via rl0
allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via rl0
Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает доступ в интернет ни почта"  +/
Сообщение от PavelR (??) on 09-Июл-09, 16:14 

>divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе
>запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс
>rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
>Дальше пакет возвращается в ipfw, если не указан one pass.

+1 насчет one_pass.

>В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на
>rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx"

гы-гы. поясните теперь, как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?


> через который
>собственно и осуществляется доступ в интернет, примерно так:
>allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via
>rl0
>allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via
>rl0
>Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут
>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.

Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, _возвращает_ _измененный_ _пакет_.

>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").

А еще в 7-ке есть ipfw natd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает доступ в интернет ни почта"  +/
Сообщение от Deac (ok) on 09-Июл-09, 19:54 
>[оверквотинг удален]
>>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
>
>Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в
>ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю,
>_возвращает_ _измененный_ _пакет_.
>
>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>
>А еще в 7-ке есть ipfw natd.

Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to any , ниже правил для divert-а и в /var/log/security убедиться в тщетности инсинуаций.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не работает доступ в интернет ни почта"  +/
Сообщение от PavelR (??) on 09-Июл-09, 22:18 

>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.

Уважаемый, Вам таки не понятно, что это будет происходить _до_ divert, при первом прохождении пакета по файрволлу ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не работает доступ в интернет ни почта"  +/
Сообщение от PavelR (??) on 09-Июл-09, 22:22 
>[оверквотинг удален]
>>_возвращает_ _измененный_ _пакет_.
>>
>>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>>
>>А еще в 7-ке есть ipfw natd.
>
>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.

и еще, ответьте на вопрос:

как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру