форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение		[ Отслеживать ]

"ipfw, nat и пинг"	+/–
Сообщение от Александр (??) on 03-Сен-10, 01:55
Подскажите, плиз, мучаюсь уже который день При моей настройке ping из локальной сети проходит, а из Интернета пропинговать сервер не получается. Очевидно, надо как-то отличить пакет, идущий к серверу от того, который пришел в ответ на ping изнутри сети и который надо про-nat-ить. С TCP/UDP такое же получается, а с ICMP возможно? Какие только не пробовал писать - оба пинга не работают. Можно убрать deny_in, но это несекьюрно. nat 123 config if rl1 log deny_in same_ports allow ip from 212.5.113.41 to any keep-state allow ip from 192.168.0.1 to any keep-state allow ip from any to 212.5.1.1 dst-port 20,21,49152-65535,22,1022,25 keep-state allow ip from any to 192.168.0.1  dst-port 20,21,49152-65535,22,1022,25 keep-state deny log icmp from any to any icmptypes 5,9,13,14,15,16,17 deny ip from not table(0) to any in via rl0 nat 123 ip from any to any via rl1 allow ip from 212.5.1.1 to any allow ip from 192.168.0.0/24 to any allow ip from any to 192.168.0.0/24
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ipfw, nat и пинг"	+/–
Сообщение от Pahanivo (ok) on 03-Сен-10, 07:31
>Подскажите, плиз, мучаюсь уже который день > >При моей настройке ping из локальной сети проходит, а из Интернета пропинговать >сервер не получается. Очевидно, надо как-то отличить пакет, идущий к серверу >от того, который пришел в ответ на ping изнутри сети и >который надо про-nat-ить. С TCP/UDP такое же получается, а с ICMP >возможно? вы порите чушь ... >[оверквотинг удален] >allow ip from 212.5.113.41 to any keep-state >allow ip from 192.168.0.1 to any keep-state >allow ip from any to 212.5.1.1 dst-port 20,21,49152-65535,22,1022,25 keep-state >allow ip from any to 192.168.0.1  dst-port 20,21,49152-65535,22,1022,25 keep-state >deny log icmp from any to any icmptypes 5,9,13,14,15,16,17 >deny ip from not table(0) to any in via rl0 >nat 123 ip from any to any via rl1 >allow ip from 212.5.1.1 to any >allow ip from 192.168.0.0/24 to any >allow ip from any to 192.168.0.0/24 1) я бы советовал не дергать куски из готовых конфигов и править под себя, пытаясь получить рабочий конфиг, но при этом совершенно не понимая как он работает 2) я бы не советовал начинать с настройки динамического фаера - тем более, судя по примеру, вы нифига не понимаете сути 3) начните с обычшых статических правил, постепенно добавляя нужные и контролируя работу для начала хватит этих правил nat 1 ip from any to any via rl1 allow ip from any to any
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "ipfw, nat и пинг"	+/–
	Сообщение от Александр (??) on 04-Сен-10, 02:16
	>>При моей настройке ping из локальной сети проходит, а из Интернета пропинговать >>сервер не получается. >вы порите чушь ... возможно, я пока только учусь >для начала хватит этих правил >nat 1 ip from any to any via rl1 >allow ip from any to any Это я уже перерос. ;-) >1) я бы советовал не дергать куски из готовых конфигов Я прочитал кучу руководств и написал свои правила, они ниже, если Вы подскажете, что в них можно поправить, буду очень признателен. А то кому их не показывают - говорят, фигня, а почему и что не так молчат. :-( ###  Rules  ##########################################################     # Check dynamic rules ${fwcmd} add check-state     # Stop spoofing ${fwcmd} add deny log ip from ${inet} to any in via ${oif} ${fwcmd} add deny log ip from ${onet} to any in via ${iif}     # Rules for lo0 ${fwcmd} add allow ip from any to any via lo0     # Allow all outgoing from server ${fwcmd} add allow ip from ${oip} to any keep-state ${fwcmd} add allow ip from ${iip} to any keep-state     # Allow access to our services ${fwcmd} add allow ip from any to ${oip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,     1723,5222,5269,5280 keep-state ${fwcmd} add allow ip from any to ${iip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,3306,1723,5222,5269,5280 keep-state     # Block some ICMP packets ${fwcmd} add deny log icmp from any to any icmptype 5,9,13,14,15,16,17 ###  Rules for gateway only  ######################################### case ${firewall_nat_enable} in [Yy][Ee][Ss])     # Disallow users access to our proxy ${fwcmd} add deny ip from not table\(0\) to ${iip} 3128     # Disallow users access to our NAT service ${fwcmd} add deny ip from not table\(0\) to any in via ${iif}     # Block access to foreign smtp ${fwcmd} add deny log ip from ${inet} to not host1.taxcom.ru, smtp.dbo.vtb.ru smtp     # Network Address Translation ${fwcmd} nat 123 config if ${oif} log deny_in same_ports ${fwcmd} add nat 123 all from any to any via ${oif}     # Rules for NATed packets ${fwcmd} add allow ip from ${oip} to any     # Allow users to have Internet ${fwcmd} add allow ip from ${inet} to any ${fwcmd} add allow ip from any to ${inet} esac     # Drop all connections w/out logging: on netbios ports ${fwcmd} add deny ip from any to any 135,137,138,139,microsoft\\-ds     # Drop all connections w/out logging: broadcast ${fwcmd} add deny ip from any to 255.255.255.255     # Drop any other packets & log it ${fwcmd} add deny log ip from any to any
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "ipfw, nat и пинг"	+/–
	Сообщение от Pahanivo (ok) on 06-Сен-10, 06:19
	ipfw -a list в студию ... не надо выкладывать скрипт - надо правила ! > А то кому их не показывают - говорят, фигня, а почему и что не так молчат. :-( сходу не присматриваясь: например ${fwcmd} add allow ip from any to ${oip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,     1723,5222,5269,5280 keep-state ${fwcmd} add allow ip from any to ${iip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,3306,1723,5222,5269,5280 keep-state в чем суть кип-стейта в этих правилах?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "ipfw, nat и пинг"	+/–
	Сообщение от Александр (??) on 06-Сен-10, 22:58
	>ipfw -a list >в студию ... не надо выкладывать скрипт - надо правила ! 00100       0           0 check-state 00200       0           0 deny log ip from 192.168.0.0/24 to any in via rl1 00300       0           0 deny log ip from 212.5.1.0/25 to any in via rl0 00400  607382    72081602 allow ip from any to any via lo0 00500       0           0 allow gre from any to any keep-state 00600  791256   226517141 allow ip from 212.5.1.1 to any keep-state 00700  151700    13529448 allow ip from 192.168.0.1 to any keep-state 00800 2171337   761766392 allow ip from any to 212.5.1.1 dst-port 20,21,49152-65535,22,1022,25,465,53,80,443,110,995,123,143,993,24554,1723,5222,5269,5280 keep-state 00900   57522     7016248 allow ip from any to 192.168.0.1 dst-port 20,21,49152-65535,22,1022,25,465,53,80,443,110,995,123,143,993,24554,3306,1723,5222,5269,5280 keep-state 01000       3         168 deny log icmp from any to any icmptypes 5,9,13,14,15,16,17 01100       0           0 deny ip from not table(0) to 192.168.0.1 dst-port 3128 01200       0           0 deny ip from not table(0) to any in via rl0 01300      39        1872 deny log ip from 192.168.0.0/24 to not 81.177.14.202,193.164.146.13 dst-port 25 01400 7879453  6385195213 nat 123 ip from any to any via rl1 01500 2832102   305135072 allow ip from 212.5.1.1 to any 01600 2839026   306065193 allow ip from 192.168.0.0/24 to any 01700 9813175 12127746922 allow ip from any to 192.168.0.0/24 01800       0           0 deny ip from any to any dst-port 135,137,138,139,445 01900       0           0 deny ip from any to 255.255.255.255 02000       6        8320 deny log ip from any to any 65535     247       24583 deny ip from any to any >[оверквотинг удален] > >> А то кому их не показывают - говорят, фигня, а почему и что не так молчат. :-( > >сходу не присматриваясь: > >например >${fwcmd} add allow ip from any to ${oip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,     > 1723,5222,5269,5280 keep-state >${fwcmd} add allow ip from any to ${iip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,3306,1723,5222,5269,5280 keep-state >в чем суть кип-стейта в этих правилах? При первом обращении клиента по любому из этих портов создаётся динамическое правило и далее работает уже оно. Такая была идея. Хотя судя по тому, что счётчик пакетов в правиле 100 равен нуля, это не работает.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "ipfw, nat и пинг"	+/–
	Сообщение от Pahanivo (ok) on 07-Сен-10, 09:07
	>>${fwcmd} add allow ip from any to ${oip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,     >> 1723,5222,5269,5280 keep-state >>${fwcmd} add allow ip from any to ${iip} ftp\\-data,ftp,49152-65535,ssh,1022,smtp,smtps,domain,http,https,pop3,pop3s,ntp,imap,imaps,24554,3306,1723,5222,5269,5280 keep-state >>в чем суть кип-стейта в этих правилах? > >При первом обращении клиента по любому из этих портов создаётся динамическое правило >и далее работает уже оно. Такая была идея. Хотя судя по >тому, что счётчик пакетов в правиле 100 равен нуля, это не >работает. зачем вешеать динамические правила на статические порты ??? кроме изнасилования мозга другого эффекта тут нет! я вам третий раз говорю - сделайте СТАТИЧЕСКИЙ фаер на простых, прозрачных и понятных вам правилах - и только после того как он заработает усложняйте. пысы: чек-стейт ВСЕГДА имеет нулевой счетчик ... для просмотра динамических правил есть спец опция ipfw
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема