The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Help!!! ipfw divert + bind"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Help!!! ipfw divert + bind"  +/
Сообщение от alexisss email(ok) on 23-Янв-15, 17:11 
Прошу помощи. Уже весь мозг сломал.

Почему при замене правила
ipfw add 50 divert 8668 ip from any to any via re1
на
ipfw add 50 divert 8668 ip4 from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1                      
ipfw add 51 divert 8668 ip4 from not 192.168.211.0/24 to 81.23.1.1 in recv re1      
Перестают работать рекурсивные запросы на Bind ???

192.168.211.0/24 - локалка
81.23.1.1 - внешний Ip
FreeBSD 9.1-RELEASE

BIND 9.8.3-P4
listen-on { 127.0.0.1;192.168.211.1;81.23.1.1; };

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Help!!! ipfw divert + bind"  +/
Сообщение от universite email(ok) on 24-Янв-15, 03:37 
ipfw add 52 ip4 from me to any out via re1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Help!!! ipfw divert + bind"  +/
Сообщение от alexisss email(ok) on 24-Янв-15, 11:21 
Без разницы.
правила заменяются т.е. 50 удаляю, 50 и 51 добавляю.
Разницы между ip и ip4 я не заметил.

при divert 8668 ip from any to any via re1
рекурсивные запросы в bind работают.

при divert 8668 ip from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1                      
divert 8668 ip from not 192.168.211.0/24 to 81.23.1.1 in recv re1      

Bind отдает на запросы только данные из зон прописанных в named.conf

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Help!!! ipfw divert + bind"  +/
Сообщение от михалыч (ok) on 24-Янв-15, 16:06 
Э-э-э, друг, что-то намудрил, с этими самыми not'ами.
Если хочется указывать конкретно out xmit и in recv то в данном конкретном случае смысл с not отпадает.

Но, вроде как такие конструкции уже не практикуются, типа устарели морально.
Рекомендуют использовать именно конструкцию via (а там уж система сама разберётся, что откуда и куда, чай не дурнее паровоза)
Это называется сам себя перехитрил. )) Зачем?

Зачем разбивать первое правило на два других?
Какой-такой смысл потаённый? Счетчики срабатывания этих правил посмотреть? Ну, и чего?
Посмотрел? ))

Тогда уж так:

ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Help!!! ipfw divert + bind"  +/
Сообщение от alexisss email(ok) on 24-Янв-15, 18:56 
> Тогда уж так:
> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1

И так тоже Bind перестает работать по рекурсивным запросам.

Вопрос, почему???

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Help!!! ipfw divert + bind"  +/
Сообщение от universite email(ok) on 24-Янв-15, 20:39 
>> Тогда уж так:
>> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
>> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1
> И так тоже Bind перестает работать по рекурсивным запросам.
> Вопрос, почему???

Используйте tcpdump, netstat и sockstat для определении логики работы bind.
Нам сложно телепатировать ваш конфиг бинда, firewall'a и версии bind'a.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Help!!! ipfw divert + bind"  +2 +/
Сообщение от михалыч (ok) on 25-Янв-15, 11:07 
>> Тогда уж так:
>> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
>> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1
> И так тоже Bind перестает работать по рекурсивным запросам.
> Вопрос, почему???

Продолжаете отжигать?

Вы спрашиваете, почему перестаёт работать?
Может надо явно разрешить?

Что у вас в правилах файервола, нам сие неизвестно, об этом история,
как в прочем и вы, к сожалению, умалчивает.. ))

Ну, да ладно, попробую как-нибудь, наощупь.

Вот минимальный джентльменский набор правил.

ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
ipfw add 60 divert natd all from any to 81.23.1.1/32 in recv re1
ipfw add 100 llow all from any to any via lo0
ipfw add 200 deny all from any to 127.0.0.0/8
ipfw add 300 deny all from 127.0.0.0/8 to any
ipfw add 400 allow all from 81.23.1.1/32 to any
ipfw add 500 allow all from any to 81.23.1.1/32
ipfw add 600 allow all from 192.168.211.0/24 to any
ipfw add 700 allow all from any to 192.168.211.0/24

можно, конечно, посмотреть конкретно по 53 порту, что у вас там бегает

ipfw add 350 allow log udp from any to any 53
ipfw add 360 allow log udp from any 53 to any

ну и как счетчики на правилах 350 и 360 изменятся, смотрите логи в файле
/var/log/security на срабатывание этих правил, там будет видно кто, кого, куда и где ))

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Help!!! ipfw divert + bind"  +/
Сообщение от Sergok (ok) on 26-Янв-15, 22:19 
Михалыч, можно с вами посоватоваться по ipfw?
Есть почта? ;)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Help!!! ipfw divert + bind"  –1 +/
Сообщение от Pahanivo (ok) on 27-Янв-15, 07:33 
> Михалыч, можно с вами посоватоваться по ipfw?
> Есть почта? ;)

man ipfw
для начала освой ...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Help!!! ipfw divert + bind"  +/
Сообщение от михалыч (ok) on 27-Янв-15, 19:28 
> Михалыч, можно с вами посоватоваться по ipfw?
> Есть почта? ;)

да есть конечно )), куда ж без неё, почтальон исправно приносит журнал мурзилку и барвинок ))

а если серьезно, то понимание ipfw (или чего-то другого) - это не является сакральным знанием
и я далеко не знаток и не знаю всех тонкостей, но при необходимости буду вникать в нюансы,
а чего знаю - подскажу, мне не жалко ))

есть же, действительно, куча инфы, и на этом сервере и других (хабр, лисяра, хоть и не хвалят его, типа он думать не дает, а готовые рецепты предлагает, но я не согласен с этим )), самому думать никто не запрещает)

вот, свеженький man, ещё не протух
http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sekt...

ежели сразу на "ненашинском" трудно, то
набираем в яше (гугле) man ipfw на русском, получаем кучу сцылок

http://www.opennet.me/man.shtml?topic=ipfw&category=8&russian=0
http://bugreev.ru/blog:2011:12:08-freebsd_-_ipfw
http://bezopasnik.org/unix/dok/FreeBSD/dok/36.htm

можно в учебниках посмотреть
http://bezopasnik.org/unix/dok/BSDA-course/ape.html
http://www.g0l.ru/blog/htmls/BSDA-course/ape.html

погнали, посмотрим на лисяре
http://www.lissyara.su/articles/freebsd/tuning/ipfw/
http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/
http://www.lissyara.su/articles/freebsd/tuning/memoranda_abo.../

на хабре есть
http://www.hub.ru/archives/4637

забьем в поиск "ipfw примеры" (нат, таблицы) и получим ещё кучу линков

увлекательное чтиво на ночь!

а если что-то не понятно, то лучше здесь же на форуме и спрашивать, кто-нибудь что-нибудь да и поможет, на то он и форум, голова хорошо, а сто - лучше ))
как там говорил Глеб Жеглов, всегда найдётся человечек, который что-либо видел, что-либо слышал, что-либо знает ))
так и тут, да и другие с аналогичными вопросами потом на этом же форуме и для себя ответы найдут

чето я буков много накидал уже, устал однако ))
короче, если есть вопросы - не стесняйся, спрашивай, ищущий да обрящет

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Help!!! ipfw divert + bind"  +/
Сообщение от Sergok (ok) on 27-Янв-15, 21:57 
Ой, спасибо, что вы есть! :)
Можете глянуть? http://www.opennet.me/openforum/vsluhforumID1/95957.html#0

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру