forum.opennet.ru - "правильная настройка ipfw+natd freebsd" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"правильная настройка ipfw+natd freebsd"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"правильная настройка ipfw+natd freebsd"	+/–
Сообщение от skivik (ok) on 02-Сен-15, 09:42
Добрый день, на работе стоит цель создать firewall на базе freebsd для сайта, на который постоянно ломятся китайцы и пытаются его ddos. Я создал, начальство перед тем как я его включу на постоянной основе и подниму несколько взаимозаменяемых ppoe, требуют проверить по такой схеме. Сейчас у нас стоит windows kerio который поднимает ppoe и рулит правилами. На нем дополнительно прописано две подсети 10.65.1.253 и 10.65.2.253 для теста rc.conf имеет такой вид: hostname="vorota" ifconfig_em1="inet 10.65.2.254 netmask 255.255.255.0" defaultrouter="10.65.1.253" ifconfig_em0="inet 10.65.1.254 netmask 255.255.255.248" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" firewall_script="/etc/firewall.my" firewall_quiet="NO" firewall_logging="YES" sshd_enable="YES" #STATIC MARSHRUTY static_routes="internalnet2" route_internalnet2="-net 10.65.2.0/24 10.65.1.254" #NATD natd_enable="YES" natd_interface="em1" natd_flags="-m -f /etc/natd.conf" #ICMP icmp_drop_redirect="YES" icmp_log_redirect="YES" #-ipv6 ipv6_network_interfaces="none" ipv6_activate_all_interfaces="NO" ipv6addrctl_enable="NO" ip6addrctl_policy="ipv4_prefer" ipv6_activate_all_interfaces="NO" #sendmail disable sendmail_enable="NO" sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" #localisation keymap="ru.koi8-r.kbd" #mouse usbd_enable="YES" usbd_flags="" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="AUTO" Где 10.65.1.253 адрес керио который предоставляет услугу "интернет" ipfw имеет такой вид: #!/bin/sh #ipfw resetlog fwcmd="/sbin/ipfw" extinterface="em1" intinterface="em0" #zamena na domru extip="10.65.2.254" intip="10.65.1.254" extnet="10.65.2.0/24" intnet="10.65.1.248/29" natdinterface="em1" #dns1="109.194.16.1" #dns2="109.194.17.1" dns1="10.65.1.253" ${fwcmd} -f flush #lo0 ${fwcmd} add pass all from any to any via lo0 ${fwcmd} add deny all from any to 127.0.0.0/8 ${fwcmd} add deny all from 127.0.0.0/8 to any #zapretit lubie pakety dlia sety extnet nahodiahihsa na vnutrennem int #${fwcmd} add deny all from ${extnet} to any in via ${intinterface} #zapretit dostup k privatnim setiam nahod snaruzhi #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} ${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface} ${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface} #zapretit dostup k shirokoveshatelnim setiam #${fwcmd} add deny all from any to 0.0.0.0/8 via ${extinterface} ${fwcmd} add deny all from any to 169.254.0.0/16 via ${extinterface} ${fwcmd} add deny all from any to 224.0.0.0/4 via ${extinterface} ${fwcmd} add deny all from any to 240.0.0.0/4 via ${extinterface} #razreshit obmen mezhdu podsetiamy ${fwcmd} add allow ip from 10.65.2.0/24 to 10.65.1.248/29 ${fwcmd} add allow ip from 10.65.1.248/29 to 10.65.2.0/24 #razreshit rabotu natd po transliachii adresov ${fwcmd} add divert natd all from any to any via ${natdinterface} #${fwcmd} add divert natd all from any to ${extip} via ${natdinterface} #zapretit dostup iz privantih setei snaruzhi #${fwcmd} add deny all from 0.0.0.0/8 to any via ${extinterface} ${fwcmd} add deny all from 169.254.0.0/8 to any via ${extinterface} ${fwcmd} add deny all from 224.0.0.0/8 to any via ${extinterface} ${fwcmd} add deny all from 240.0.0.0/8 to any via ${extinterface} #Razreshit ping dlia testov ${fwcmd} add allow icmp from any to any via ${intinterface} ${fwcmd} add allow icmp from any to any via ${extinterface} #pravila #razreshit dostup k saitu i kerio vnutri seti 11.95 ${fwcmd} add allow all from any to 10.65.1.251 via ${intinterface} ${fwcmd} add allow all from any to 10.65.1.253 via ${intinterface} #razreshit porty na saite ${fwcmd} add allow tcp from any to any 80 via ${extinterface} ${fwcmd} add divert 80 tcp from any to 10.65.1.251 80 via ${natdinterface} ${fwcmd} add allow tcp from any to any 443 via ${extinterface} ${fwcmd} add divert 443 tcp from any to 10.65.1.251 443 via ${natdinterface} ${fwcmd} add allow tcp from any to any 1022 via ${extinterface} ${fwcmd} add divert 1022 tcp from any to 10.65.1.251 22 via ${natdinterface} ${fwcmd} add allow tcp from any 20 to 10.65.1.251 1024-65535 via ${intinterface} #razreshit porty na kerio i zatem zapretit ${fwcmd} add allow all from any to any via ${extinterface} ${fwcmd} add divert natd all from any to 10.65.1.253 via ${natdinterface} ${fwcmd} add deny tcp from any to 10.65.1.253 80 via ${extinterface} ${fwcmd} add deny tcp from any to 10.65.1.253 443 via ${extinterface} #razreshit hozhdenie paketov vnutri sety localnet cherez vnutrennii interface ${fwcmd} add allow all from any to any via ${intinterface} #razreshit vihod vseh tipov pakerov cherez vneshniy interface ${fwcmd} add allow tcp from ${extip} to any out via ${extinterface} #Razreshit vse ustanovlennie soedinenia ${fwcmd} add allow tcp from any to any established #Razreshit dostavku fragmetov paketov ${fwcmd} add allow all from any to any frag #razreshit otvety s dns serverov c 53 porta po udp na vse mashini ${fwcmd} add allow udp from ${dns1} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${dns2} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${extip} to ${dns1} 53 keep-state ${fwcmd} add allow udp from ${extip} to ${dns2} 53 keep-state #zapretit vse broadkasty ${fwcmd} add deny ip from any to 255.255.255.255 #zapretit rabotu po windows netbios portam ${fwcmd} add deny udp from any to any 137,138 via ${extinterface} ${fwcmd} add deny tcp from any to any 135,139 via ${extinterface} #DHCP #${fwcmd} add allow udp from any to any to 255.255.255.255 67,68,69 via ${localinterface} #razreshit ssh i pochtu #${fwcmd} add allow tcp from any to ${extip} 22 via ${extinterface} #${fwcmd} add allow tcp from any to ${extip} 25 via ${extinterface} #zapretit ident zaprosy ${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface} ${fwcmd} add 65534 deny log ip from any to any В host на windows прописано что наш сайт это 10.65.1.254 то есть внешний адрес freebsd и по правилам он должен перекидывать нас на страницу сайта, на debian прописано что адрес сайта это 10.65.1.251 по этому адресу он на сайт проходит. Но если я стучусь на 10.65.1.254 то ответа нет, и пингов до этого адреса (внешнего адреса freebsd тоже нет, хотя в правилах пинг разрешен) Я понимаю вопрос глупый, но пожалуйста ткните носом где моя ошибка или в какой направлении копать. Я понимаю что проблема в настройке natd но не вижу где. Потому что если я меняю natdinterface с em1 на em0 то пинги меняются местами, и адрес 10.65.2.253 становится доступным а 1.253 нет.
Ответить \| Правка \| Cообщить модератору

Оглавление

правильная настройка ipfw+natd freebsd, skivik, 11:35 , 02-Сен-15, (1)

правильная настройка ipfw+natd freebsd, skivik, 12:55 , 02-Сен-15, (2)

правильная настройка ipfw+natd freebsd, arachnid, 18:36 , 07-Сен-15, (3)

правильная настройка ipfw+natd freebsd, skivik, 06:30 , 09-Сен-15, (4)

правильная настройка ipfw+natd freebsd, skivik, 07:23 , 09-Сен-15, (5)

правильная настройка ipfw+natd freebsd, skivik, 08:14 , 09-Сен-15, (6)

правильная настройка ipfw+natd freebsd, arachnid, 19:38 , 11-Сен-15, (7)

правильная настройка ipfw+natd freebsd, skivik, 04:14 , 14-Сен-15, (8)

правильная настройка ipfw+natd freebsd, skivik, 06:03 , 14-Сен-15, (9)

правильная настройка ipfw+natd freebsd, skivik, 12:56 , 14-Сен-15, (10)
правильная настройка ipfw+natd freebsd, arachnid, 14:52 , 14-Сен-15, (11)

правильная настройка ipfw+natd freebsd, skivik, 07:50 , 15-Сен-15, (12)

правильная настройка ipfw+natd freebsd, skivik, 12:52 , 15-Сен-15, (13)

правильная настройка ipfw+natd freebsd, BarS, 13:33 , 15-Сен-15, (14)

правильная настройка ipfw+natd freebsd, skivik, 04:17 , 16-Сен-15, (15)
правильная настройка ipfw+natd freebsd, skivik, 06:48 , 16-Сен-15, (16)
правильная настройка ipfw+natd freebsd, skivik, 12:38 , 25-Сен-15, (17)
правильная настройка ipfw+natd freebsd, skivik, 11:29 , 29-Сен-15, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 02-Сен-15, 11:35

Так вообщем фиг с ним с керио я решил и попробовал с другому стационарного и пинги есть, ip адрес соотносится с адресом сайта, но сайт не открывается.
В правилах если посмотреть по ipfw -t list показывает что правила идут нормально до
${fwcmd} add divert natd all from any to any via ${natdinterface}
А дальше не идет сам divert

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 02-Сен-15, 12:55

Так видимо нужно перенаправлять через natd.conf и fwd это я наверное понял, но почему у меня не идут правила дальше ${fwcmd} add divert natd all from any to any via ${natdinterface}?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от arachnid (ok) on 07-Сен-15, 18:36

а можно сюда ipfw show - что бы было понятней, что же именно у вас (не)работает

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 09-Сен-15, 06:30

> а можно сюда ipfw show - что бы было понятней, что же
> именно у вас (не)работает
http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg   Вот это схема сети
А это вывод ipfw t list
http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 09-Сен-15, 07:23

>> а можно сюда ipfw show - что бы было понятней, что же
>> именно у вас (не)работает
> http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg   Вот это схема сети
> А это вывод ipfw t list
> http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg
Методом исключений я определил что telnet и curl до адреса 10.65.1.251 не идет, пинг идет, именно с freebsd значит доступа с freebsd  на сайт нету. А почему я не могу понять. Telnet c другой машины проходит, но так как мы обращаемся к freebsd которая уже перебрасывает на сайт то следовательно нет доступа с freebsd на сайт.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 09-Сен-15, 08:14

>[оверквотинг удален]
>>> именно у вас (не)работает
>> http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg   Вот это схема сети
>> А это вывод ipfw t list
>> http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg
> Методом исключений я определил что telnet и curl до адреса 10.65.1.251 не
> идет, пинг идет, именно с freebsd значит доступа с freebsd
> на сайт нету. А почему я не могу понять. Telnet c
> другой машины проходит, но так как мы обращаемся к freebsd которая
> уже перебрасывает на сайт то следовательно нет доступа с freebsd на
> сайт.
Таки да добавил выше всех правило разрешить всем и все через em0 внутренний интерфейс и все заработало, telnet заработал но сайт как не открывался так и не открывается
http://s017.radikal.ru/i426/1509/02/a9e816da5844.jpg

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от arachnid (ok) on 11-Сен-15, 19:38

а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам по одному разу - и пройдя правило ната уже до форвардинга не доберется.
и плюс, что за странное правило для маршрутов?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 14-Сен-15, 04:14

> а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам
> по одному разу - и пройдя правило ната уже до форвардинга
> не доберется.
> и плюс, что за странное правило для маршрутов?
Из вывода ipfw -t list видно что до fwd пакет дошел, и как я читал по правилам сначала пишешь divert  потом fwd и потом аллоу. А про какое странное правило именно Вы говорите? Я сейчас попробую местами поменять, спасибо.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 14-Сен-15, 06:03

>> а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам
>> по одному разу - и пройдя правило ната уже до форвардинга
>> не доберется.
>> и плюс, что за странное правило для маршрутов?
> Из вывода ipfw -t list видно что до fwd пакет дошел, и
> как я читал по правилам сначала пишешь divert  потом fwd
> и потом аллоу. А про какое странное правило именно Вы говорите?
> Я сейчас попробую местами поменять, спасибо.
Прочитал что в 10 версии теперь fwd пишется до ната, спасибо, поменял
http://s008.radikal.ru/i305/1509/01/9fb8ca9911fe.png
Но сайт не открывается
Судя по выводу у меня доходит до ната и либо в правилах ната ошибка либо em1 не знает о em0
В natd.conf у меня прописано
interface em1\
redirect_port tcp 10.65.1.251:80 80\
redirect_port tcp 10.65.1.251:443 443\
redirect_port tcp 10.65.1.251:1022 20

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 14-Сен-15, 12:56

>[оверквотинг удален]
> Прочитал что в 10 версии теперь fwd пишется до ната, спасибо, поменял
> http://s008.radikal.ru/i305/1509/01/9fb8ca9911fe.png
> Но сайт не открывается
> Судя по выводу у меня доходит до ната и либо в правилах
> ната ошибка либо em1 не знает о em0
> В natd.conf у меня прописано
> interface em1\
> redirect_port tcp 10.65.1.251:80 80\
> redirect_port tcp 10.65.1.251:443 443\
> redirect_port tcp 10.65.1.251:1022 20
Явно проблема в natd у меня, потому что по логу пакет у меня попадает на внешний интерфейс, правило fwd его на 10.65.1.251 после этого срабатывает правило разрешить всё всем через em0 и после этого все заворачивает в нат на em1 и дальше почему он не идет? По хэндбуку он должен попадать в правила allow

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от arachnid (ok) on 14-Сен-15, 14:52

еще раз - когда у вас пакет проходит через интерфейс - то он идет до первого правила, под которое попадает - до других не доберется.
и обратите внимание - когда вы форвардите пакет, то адрес источника не меняется - а вы именно это и пытаетесь сделать. а уже потом этот отфорваженный пакет пустить в нат. на одном интерфейсе так не получится.
а судя по всему, то, что вы хотите сделать описано в man ipfw - nat, redirect

касательно маршрутизации в rc.conf - route_internalnet2="-net 10.65.2.0/24 10.65.1.254" - рекомендую понять, что вы все таки написали :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 15-Сен-15, 07:50

>[оверквотинг удален]
> он идет до первого правила, под которое попадает - до других
> не доберется.
> и обратите внимание - когда вы форвардите пакет, то адрес источника не
> меняется - а вы именно это и пытаетесь сделать. а уже
> потом этот отфорваженный пакет пустить в нат. на одном интерфейсе так
> не получится.
> а судя по всему, то, что вы хотите сделать описано в man
> ipfw - nat, redirect
> касательно маршрутизации в rc.conf - route_internalnet2="-net 10.65.2.0/24 10.65.1.254"
> - рекомендую понять, что вы все таки написали :)
А как на счет этого варианта

hostname="vorota"
ifconfig_em1="inet 10.65.2.254 netmask 255.255.255.0"
ifconfig_em0="inet 10.65.1.254 netmask 255.255.255.0"
defaultrouter="10.65.1.254"

gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/firewall.my"
firewall_quiet="YES"
firewall_logging="YES"
sshd_enable="YES"
#NATD
natd_enable="YES"
natd_interface="em1"
natd_flags=""
#ICMP
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
#sendmail disable
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
#localisation
keymap="ru.koi8-r.kbd"
#mouse
usbd_enable="YES"
usbd_flags=""
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

#!/bin/sh
#ipfw resetlog
fwcmd="/sbin/ipfw"
extinterface="em1"
intinterface="em0"
#zamena na domru
extip="10.65.2.254"
intip="10.65.1.254"
extnet="10.65.2.0/24"
intnet="10.65.1.0/24"
httpserver="10.65.1.251"
natdinterface="em1"
#dns1="109.194.16.1"
#dns2="109.194.17.1"
dns1="10.65.2.253"
dns2="10.65.1.253"
${fwcmd} -f flush
#lo0
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
#zapretit lubie pakety dlia sety extnet nahodiahihsa na vnutrennem int
${fwcmd} add deny all from ${extnet} to any in via ${intinterface}
#zapretit dostup k privatnim setiam nahod snaruzhi
#${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface}
#${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface}
#${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface}
#zapretit dostup k shirokoveshatelnim setiam
#${fwcmd} add deny all from any to 0.0.0.0/8 via ${extinterface}
#${fwcmd} add deny all from any to 169.254.0.0/16 via ${extinterface}
#${fwcmd} add deny all from any to 224.0.0.0/4 via ${extinterface}
#${fwcmd} add deny all from any to 240.0.0.0/4 via ${extinterface}
#razreshit obmen mezhdu podsetiamy
${fwcmd} add allow ip from 10.65.2.0/24 to 10.65.1.0/24
${fwcmd} add allow ip from 10.65.1.0/24 to 10.65.2.0/24
#Razreshit ping dlia testov
${fwcmd} add allow icmp from any to any via ${intinterface}
${fwcmd} add allow icmp from any to any via ${extinterface}
${fwcmd} add allow all from any to any via ${intinterface}
#FWD
#${fwcmd} add fwd 10.65.1.251,80 tcp from any to 10.65.2.254 80 keep-state
#${fwcmd} add fwd 10.65.1.251,443 tcp from any to 10.65.2.254 443 keep-state
#${fwcmd} add fwd 10.65.1.251,20 tcp from any to 10.65.2.254 1022 keep-state

#razreshit porty na kerio i zatem zapretit
#${fwcmd} add allow all from any to 10.65.1.253  via ${extinterface}
#${fwcmd} add divert natd all from any to 10.65.1.253 via ${natdinterface}
#${fwcmd} add deny tcp from any to 10.65.1.253 80 via ${extinterface}
#${fwcmd} add deny tcp from any to 10.65.1.253 443 via ${extinterface}

#http redirect
${fwcmd} add divert 8888 tcp from any to ${extip} 80 via ${extinterface}
${fwcmd} add divert 8888 tcp from any to ${extip} 443 via ${extinterface}
${fwcmd} add divert 8888 tcp from any to ${extip} 1022 via ${extinterface}
${fwcmd} add divert 8888 ip from ${httpserver} to any via ${extinterface}
#${fwcmd} add divert natd all from any to any in via ${natdinterface}
#${fwcmd} add divert natd all from any to any out via ${extinterface}
#Run natd
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:80 80
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:443 443
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:1022 20
${fwcmd} add allow tcp from any to ${httpserver} 80 via any
${fwcmd} add allow tcp from any to ${httpserver} 443 via any
${fwcmd} add allow tcp from any to ${httpserver} 1022 via any

#zapretit dostup iz privantih setei snaruzhi
#${fwcmd} add deny all from 0.0.0.0/8 to any via ${extinterface}
#${fwcmd} add deny all from 169.254.0.0/8 to any via ${extinterface}
#${fwcmd} add deny all from 224.0.0.0/8 to any via ${extinterface}
#${fwcmd} add deny all from 240.0.0.0/8 to any via ${extinterface}

#razreshit hozhdenie paketov vnutri sety localnet cherez vnutrennii interface
${fwcmd} add allow all from any to any via ${intinterface}
#razreshit vihod vseh tipov pakerov cherez vneshniy interface
${fwcmd} add allow tcp from ${extip} to any out via ${extinterface}
#Razreshit vse ustanovlennie soedinenia
${fwcmd} add allow tcp from any to any established
#Razreshit dostavku fragmetov paketov
${fwcmd} add allow all from any to any frag
#razreshit otvety s dns serverov c 53 porta po udp na vse mashini
${fwcmd} add allow udp from ${dns1} 53 to any in via ${extinterface}
${fwcmd} add allow udp from ${dns2} 53 to any in via ${extinterface}
${fwcmd} add allow udp from ${extip} to ${dns1} 53 keep-state
${fwcmd} add allow udp from ${extip} to ${dns2} 53 keep-state
#zapretit vse broadkasty
${fwcmd} add deny ip from any to 255.255.255.255
#zapretit rabotu po windows netbios portam
${fwcmd} add deny udp from any to any 137,138 via ${extinterface}
${fwcmd} add deny tcp from any to any 135,139 via ${extinterface}

#zapretit ident zaprosy
${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface}
${fwcmd} add 65534 deny log ip from any to any
http://s019.radikal.ru/i624/1509/e8/2fe4ffe8934a.png вывод ipfw

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 15-Сен-15, 12:52

Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от BarS (??) on 15-Сен-15, 13:33

> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT
#zapretit dostup k privatnim setiam nahod snaruzhi
#${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface}
#${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface}
#${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface}
а интерфейс серый

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 16-Сен-15, 04:17

>> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT
> #zapretit dostup k privatnim setiam nahod snaruzhi
> #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface}
> #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface}
> #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface}
> а интерфейс серый
Простите я вас не понял, старался но не понял(

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 16-Сен-15, 06:48

>>> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT
>> #zapretit dostup k privatnim setiam nahod snaruzhi
>> #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface}
>> #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface}
>> #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface}
>> а интерфейс серый
> Простите я вас не понял, старался но не понял(
Нет я все таки понял, простите да серый, но как я читал с серый natd не работает только лишь в том случае, если пользуетесь natd и он запущен с ключем -unregistered_only    | -u. А это не так

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 25-Сен-15, 12:38

Переделал на 9.3
rc.conf

hostname="vrata"
ifconfig_em1="inet 10.65.2.254 netmask 255.255.255.0"
ifconfig_em0="inet 10.65.1.254 netmask 255.255.255.0"
defaultrouter="10.65.2.254"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/firewall.my"
firewall_quiet="YES"
firewall_logging="YES"
sshd_enable="YES"
#NATD
natd_enable="YES"
natd_interface="em1"
natd_flags="-s -m"
#ICMP
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
#sendmail disable
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
#localisation
keymap="ru.koi8-r.kbd"
#Mouse
usbd_enable="YES"
usbd_flags=""
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"

firewall.my

#!/bin/sh
#ipfw resetlog
fwcmd="/sbin/ipfw"
extinterface="em1"
intinterface="em0"
#zamena na dom ru
extip="10.65.2.254"
intip="10.65.1.251"
extnet="10.65.2.0/24"
intnet="10.65.1.0/24"
httpserver="10.65.1.251"
natdinterface="em1"
#dns1="109.194.16.1"
#dns2="109.194.17.1"
dns1="10.65.1.253"
dns2="10.65.2.253"
${fwcmd} -f flush
#lo0
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
#zapretit lubie pakety dlia sety localnet na vneshnem int
#${fwcmd} add deny all from ${intnet} to any in via ${extinterface}
#zapretit lubie pakety dlia sety extnet na vnutrennem int
#${fwcmd} add deny all from ${extnet} to any in via ${intinterface}
#zapretit dostup k privatnim setiam nahod snarushi
#${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface}
#${fwcmd} add deny all from any to 169.254.0.0/16 via ${extinterface}
#${fwcmd} add deny all from any to 224.0.0.0/4 via ${extinterface}
#${fwcmd} add deny all from any to 240.0.0.0/4 via ${extinterface}
#razreshit obmen mezhdu podsetiamy
${fwcmd} add allow all from 10.65.2.0/24 to 10.65.1.0/24
${fwcmd} add allow all from 10.65.1.0/24 to 10.65.2.0/24
#razreshit ping dlia testov
${fwcmd} add allow icmp from any to any via ${intinterface}
${fwcmd} add allow icmp from any to any via ${extinterface}
#${fwcmd} add allow all from any to any via ${intinterface}
#FWD1
#${fwcmd} add fwd 10.65.1.251,80 tcp from any to 10.65.2.254 80 keep-state
#${fwcmd} add fwd 10.65.1.251,443 tcp from any to 10.65.2.254 443 keep-state
#${fwcmd} add fwd 10.65.1.251,20 tcp from any to 10.65.2.254 1022 keep-state
#http redirect
${fwcmd} add divert 8888 tcp from any to ${extip} 80 via ${extinterface}
${fwcmd} add divert 8888 tcp from any to ${extip} 443 via ${extinterface}
${fwcmd} add divert 8888 tcp from any to ${extip} 1022 via ${extinterface}
${fwcmd} add divert 8888 ip from ${httpserver} to any via ${extinterface}
#Run natd
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:80 80
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:443 443
natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:1022 20
#FWD
#${fwcmd} add fwd ${httpserver},80 tcp from any to 10.65.2.254 80 setup
#${fwcmd} add fwd ${httpserver},443 tcp from any to 10.65.2.254 443 setup
#${fwcmd} add fwd ${httpserver},20 tcp from any to 10.65.2.254 1022 setup
${fwcmd} add allow tcp from any to 10.65.2.254 80 via any
${fwcmd} add allow tcp from any to 10.65.2.254 443 via any
${fwcmd} add allow tcp from any to 10.65.2.254 20 via any
${fwcmd} add allow tcp from any to ${httpserver} 80 via any
${fwcmd} add allow tcp from any to ${httpserver} 443 via any
${fwcmd} add allow tcp from any to ${httpserver} 1022 via any
#Zapretit dostup iz privatnih setei snaruzhi
#${fwcmd} add deny all from 0.0.0.0/8 to any via ${extinterface]
#${fwcmd} add deny all from 169.254.0.0/8 to any via ${extinterface}
#${fwcmd} add deny all from 224.0.0.0/8 to any via ${extinterface}
#${fwcmd} add deny all from 240.0.0.0/8 to any via ${extinterface}
#Razrezhit hozhdenie paketov vnutri sety localnet cherez vnutrennii interface
${fwcmd} add allow all from any to any via ${intinterface}
${fwcmd} add allow all from any to any via ${extinterface}
#Razreshit vihod vseh tipov paketov cherez vneshniy interface
${fwcmd} add allow tcp from ${extip} to any out via ${extinterface}
#Razreshit vse ustanovlennie soedinenia
${fwcmd} add allow tcp from any to any established
#Razreshit dostavku fragmentov paketov
${fwcmd} add allow all from any to any frag
#Razreshit otvety s dns serverov c 53 porta po udp na vse mashiny
${fwcmd} add allow udp from ${dns1} 53 to any in via ${extinterface}
${fwcmd} add allow udp from ${dns2} 53 to any in via ${extinterface}
${fwcmd} add allow udp from ${extip} to ${dns1} 53 keep-state
${fwcmd} add allow udp from ${extip} to ${dns2} 53 keep-state
#zapretit vse broadkasty
${fwcmd} add deny ip from any to 255.255.255.255
#zapretit rabotu po windows netbios portam
#${fwcmd} add deny udp from any to any 137,138 via ${extinterface}
#${fwcmd} add deny tcp from any to any 135,139 via ${extinterface}
#zapretit ident zaprosy
${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface}
${fwcmd} add 65534 deny log ip from any to any
вывод ipfw -t list
http://i056.radikal.ru/1509/36/fa0128a8f2be.jpg
Сайт все так и не открывается. Нужен еще совет,любой)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "правильная настройка ipfw+natd freebsd" +/–

Сообщение от skivik (ok) on 29-Сен-15, 11:29

>[оверквотинг удален]
> #zapretit rabotu po windows netbios portam
> #${fwcmd} add deny udp from any to any 137,138 via ${extinterface}
> #${fwcmd} add deny tcp from any to any 135,139 via ${extinterface}
> #zapretit ident zaprosy
> ${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface}
> ${fwcmd} add 65534 deny log ip from any to any
>
> вывод ipfw -t list
> http://i056.radikal.ru/1509/36/fa0128a8f2be.jpg
> Сайт все так и не открывается. Нужен еще совет,любой)
Вообщем все работает у меня, была проблема не в freebsd  а в виндовом керио что стояло за ним, машрутизировалось неверно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "правильная настройка ipfw+natd freebsd"	+/–
Сообщение от skivik (ok) on 02-Сен-15, 11:35
Так вообщем фиг с ним с керио я решил и попробовал с другому стационарного и пинги есть, ip адрес соотносится с адресом сайта, но сайт не открывается. В правилах если посмотреть по ipfw -t list показывает что правила идут нормально до ${fwcmd} add divert natd all from any to any via ${natdinterface} А дальше не идет сам divert
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 02-Сен-15, 12:55
	Так видимо нужно перенаправлять через natd.conf и fwd это я наверное понял, но почему у меня не идут правила дальше ${fwcmd} add divert natd all from any to any via ${natdinterface}?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "правильная настройка ipfw+natd freebsd"	+/–
Сообщение от arachnid (ok) on 07-Сен-15, 18:36
а можно сюда ipfw show - что бы было понятней, что же именно у вас (не)работает
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 09-Сен-15, 06:30
	> а можно сюда ipfw show - что бы было понятней, что же > именно у вас (не)работает http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg Вот это схема сети А это вывод ipfw t list http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 09-Сен-15, 07:23
	>> а можно сюда ipfw show - что бы было понятней, что же >> именно у вас (не)работает > http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg Вот это схема сети > А это вывод ipfw t list > http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg Методом исключений я определил что telnet и curl до адреса 10.65.1.251 не идет, пинг идет, именно с freebsd значит доступа с freebsd на сайт нету. А почему я не могу понять. Telnet c другой машины проходит, но так как мы обращаемся к freebsd которая уже перебрасывает на сайт то следовательно нет доступа с freebsd на сайт.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 09-Сен-15, 08:14
	>[оверквотинг удален] >>> именно у вас (не)работает >> http://s49.radikal.ru/i124/1509/e9/7756fb857530.jpg Вот это схема сети >> А это вывод ipfw t list >> http://s020.radikal.ru/i700/1509/c6/e071bd9705f7.jpg > Методом исключений я определил что telnet и curl до адреса 10.65.1.251 не > идет, пинг идет, именно с freebsd значит доступа с freebsd > на сайт нету. А почему я не могу понять. Telnet c > другой машины проходит, но так как мы обращаемся к freebsd которая > уже перебрасывает на сайт то следовательно нет доступа с freebsd на > сайт. Таки да добавил выше всех правило разрешить всем и все через em0 внутренний интерфейс и все заработало, telnet заработал но сайт как не открывался так и не открывается http://s017.radikal.ru/i426/1509/02/a9e816da5844.jpg
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от arachnid (ok) on 11-Сен-15, 19:38
	а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам по одному разу - и пройдя правило ната уже до форвардинга не доберется. и плюс, что за странное правило для маршрутов?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 14-Сен-15, 04:14
	> а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам > по одному разу - и пройдя правило ната уже до форвардинга > не доберется. > и плюс, что за странное правило для маршрутов? Из вывода ipfw -t list видно что до fwd пакет дошел, и как я читал по правилам сначала пишешь divert потом fwd и потом аллоу. А про какое странное правило именно Вы говорите? Я сейчас попробую местами поменять, спасибо.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 14-Сен-15, 06:03
	>> а зачем правила ната стоят до правил форвардинга? пакет проходит по правилам >> по одному разу - и пройдя правило ната уже до форвардинга >> не доберется. >> и плюс, что за странное правило для маршрутов? > Из вывода ipfw -t list видно что до fwd пакет дошел, и > как я читал по правилам сначала пишешь divert потом fwd > и потом аллоу. А про какое странное правило именно Вы говорите? > Я сейчас попробую местами поменять, спасибо. Прочитал что в 10 версии теперь fwd пишется до ната, спасибо, поменял http://s008.radikal.ru/i305/1509/01/9fb8ca9911fe.png Но сайт не открывается Судя по выводу у меня доходит до ната и либо в правилах ната ошибка либо em1 не знает о em0 В natd.conf у меня прописано interface em1\ redirect_port tcp 10.65.1.251:80 80\ redirect_port tcp 10.65.1.251:443 443\ redirect_port tcp 10.65.1.251:1022 20
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 14-Сен-15, 12:56
	>[оверквотинг удален] > Прочитал что в 10 версии теперь fwd пишется до ната, спасибо, поменял > http://s008.radikal.ru/i305/1509/01/9fb8ca9911fe.png > Но сайт не открывается > Судя по выводу у меня доходит до ната и либо в правилах > ната ошибка либо em1 не знает о em0 > В natd.conf у меня прописано > interface em1\ > redirect_port tcp 10.65.1.251:80 80\ > redirect_port tcp 10.65.1.251:443 443\ > redirect_port tcp 10.65.1.251:1022 20 Явно проблема в natd у меня, потому что по логу пакет у меня попадает на внешний интерфейс, правило fwd его на 10.65.1.251 после этого срабатывает правило разрешить всё всем через em0 и после этого все заворачивает в нат на em1 и дальше почему он не идет? По хэндбуку он должен попадать в правила allow
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от arachnid (ok) on 14-Сен-15, 14:52
	еще раз - когда у вас пакет проходит через интерфейс - то он идет до первого правила, под которое попадает - до других не доберется. и обратите внимание - когда вы форвардите пакет, то адрес источника не меняется - а вы именно это и пытаетесь сделать. а уже потом этот отфорваженный пакет пустить в нат. на одном интерфейсе так не получится. а судя по всему, то, что вы хотите сделать описано в man ipfw - nat, redirect касательно маршрутизации в rc.conf - route_internalnet2="-net 10.65.2.0/24 10.65.1.254" - рекомендую понять, что вы все таки написали :)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 15-Сен-15, 07:50
	>[оверквотинг удален] > он идет до первого правила, под которое попадает - до других > не доберется. > и обратите внимание - когда вы форвардите пакет, то адрес источника не > меняется - а вы именно это и пытаетесь сделать. а уже > потом этот отфорваженный пакет пустить в нат. на одном интерфейсе так > не получится. > а судя по всему, то, что вы хотите сделать описано в man > ipfw - nat, redirect > касательно маршрутизации в rc.conf - route_internalnet2="-net 10.65.2.0/24 10.65.1.254" > - рекомендую понять, что вы все таки написали :) А как на счет этого варианта hostname="vorota" ifconfig_em1="inet 10.65.2.254 netmask 255.255.255.0" ifconfig_em0="inet 10.65.1.254 netmask 255.255.255.0" defaultrouter="10.65.1.254" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" firewall_script="/etc/firewall.my" firewall_quiet="YES" firewall_logging="YES" sshd_enable="YES" #NATD natd_enable="YES" natd_interface="em1" natd_flags="" #ICMP icmp_drop_redirect="YES" icmp_log_redirect="YES" #sendmail disable sendmail_enable="NO" sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" #localisation keymap="ru.koi8-r.kbd" #mouse usbd_enable="YES" usbd_flags="" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="AUTO" #!/bin/sh #ipfw resetlog fwcmd="/sbin/ipfw" extinterface="em1" intinterface="em0" #zamena na domru extip="10.65.2.254" intip="10.65.1.254" extnet="10.65.2.0/24" intnet="10.65.1.0/24" httpserver="10.65.1.251" natdinterface="em1" #dns1="109.194.16.1" #dns2="109.194.17.1" dns1="10.65.2.253" dns2="10.65.1.253" ${fwcmd} -f flush #lo0 ${fwcmd} add pass all from any to any via lo0 ${fwcmd} add deny all from any to 127.0.0.0/8 ${fwcmd} add deny all from 127.0.0.0/8 to any #zapretit lubie pakety dlia sety extnet nahodiahihsa na vnutrennem int ${fwcmd} add deny all from ${extnet} to any in via ${intinterface} #zapretit dostup k privatnim setiam nahod snaruzhi #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface} #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface} #zapretit dostup k shirokoveshatelnim setiam #${fwcmd} add deny all from any to 0.0.0.0/8 via ${extinterface} #${fwcmd} add deny all from any to 169.254.0.0/16 via ${extinterface} #${fwcmd} add deny all from any to 224.0.0.0/4 via ${extinterface} #${fwcmd} add deny all from any to 240.0.0.0/4 via ${extinterface} #razreshit obmen mezhdu podsetiamy ${fwcmd} add allow ip from 10.65.2.0/24 to 10.65.1.0/24 ${fwcmd} add allow ip from 10.65.1.0/24 to 10.65.2.0/24 #Razreshit ping dlia testov ${fwcmd} add allow icmp from any to any via ${intinterface} ${fwcmd} add allow icmp from any to any via ${extinterface} ${fwcmd} add allow all from any to any via ${intinterface} #FWD #${fwcmd} add fwd 10.65.1.251,80 tcp from any to 10.65.2.254 80 keep-state #${fwcmd} add fwd 10.65.1.251,443 tcp from any to 10.65.2.254 443 keep-state #${fwcmd} add fwd 10.65.1.251,20 tcp from any to 10.65.2.254 1022 keep-state #razreshit porty na kerio i zatem zapretit #${fwcmd} add allow all from any to 10.65.1.253 via ${extinterface} #${fwcmd} add divert natd all from any to 10.65.1.253 via ${natdinterface} #${fwcmd} add deny tcp from any to 10.65.1.253 80 via ${extinterface} #${fwcmd} add deny tcp from any to 10.65.1.253 443 via ${extinterface} #http redirect ${fwcmd} add divert 8888 tcp from any to ${extip} 80 via ${extinterface} ${fwcmd} add divert 8888 tcp from any to ${extip} 443 via ${extinterface} ${fwcmd} add divert 8888 tcp from any to ${extip} 1022 via ${extinterface} ${fwcmd} add divert 8888 ip from ${httpserver} to any via ${extinterface} #${fwcmd} add divert natd all from any to any in via ${natdinterface} #${fwcmd} add divert natd all from any to any out via ${extinterface} #Run natd natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:80 80 natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:443 443 natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:1022 20 ${fwcmd} add allow tcp from any to ${httpserver} 80 via any ${fwcmd} add allow tcp from any to ${httpserver} 443 via any ${fwcmd} add allow tcp from any to ${httpserver} 1022 via any #zapretit dostup iz privantih setei snaruzhi #${fwcmd} add deny all from 0.0.0.0/8 to any via ${extinterface} #${fwcmd} add deny all from 169.254.0.0/8 to any via ${extinterface} #${fwcmd} add deny all from 224.0.0.0/8 to any via ${extinterface} #${fwcmd} add deny all from 240.0.0.0/8 to any via ${extinterface} #razreshit hozhdenie paketov vnutri sety localnet cherez vnutrennii interface ${fwcmd} add allow all from any to any via ${intinterface} #razreshit vihod vseh tipov pakerov cherez vneshniy interface ${fwcmd} add allow tcp from ${extip} to any out via ${extinterface} #Razreshit vse ustanovlennie soedinenia ${fwcmd} add allow tcp from any to any established #Razreshit dostavku fragmetov paketov ${fwcmd} add allow all from any to any frag #razreshit otvety s dns serverov c 53 porta po udp na vse mashini ${fwcmd} add allow udp from ${dns1} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${dns2} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${extip} to ${dns1} 53 keep-state ${fwcmd} add allow udp from ${extip} to ${dns2} 53 keep-state #zapretit vse broadkasty ${fwcmd} add deny ip from any to 255.255.255.255 #zapretit rabotu po windows netbios portam ${fwcmd} add deny udp from any to any 137,138 via ${extinterface} ${fwcmd} add deny tcp from any to any 135,139 via ${extinterface} #zapretit ident zaprosy ${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface} ${fwcmd} add 65534 deny log ip from any to any http://s019.radikal.ru/i624/1509/e8/2fe4ffe8934a.png вывод ipfw
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 15-Сен-15, 12:52
	Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от BarS (??) on 15-Сен-15, 13:33
	> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT #zapretit dostup k privatnim setiam nahod snaruzhi #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface} #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface} а интерфейс серый
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 16-Сен-15, 04:17
	>> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT > #zapretit dostup k privatnim setiam nahod snaruzhi > #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} > #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface} > #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface} > а интерфейс серый Простите я вас не понял, старался но не понял(
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 16-Сен-15, 06:48
	>>> Браузер какое то время думает и выдает мне ERR_CONNECTION_TIMED_OUT >> #zapretit dostup k privatnim setiam nahod snaruzhi >> #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} >> #${fwcmd} add deny all from any to 172.16.0.0/12 via ${extinterface} >> #${fwcmd} add deny all from any to 192.168.0.0/16 via ${extinterface} >> а интерфейс серый > Простите я вас не понял, старался но не понял( Нет я все таки понял, простите да серый, но как я читал с серый natd не работает только лишь в том случае, если пользуетесь natd и он запущен с ключем -unregistered_only \| -u. А это не так
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 25-Сен-15, 12:38
	Переделал на 9.3 rc.conf hostname="vrata" ifconfig_em1="inet 10.65.2.254 netmask 255.255.255.0" ifconfig_em0="inet 10.65.1.254 netmask 255.255.255.0" defaultrouter="10.65.2.254" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" firewall_script="/etc/firewall.my" firewall_quiet="YES" firewall_logging="YES" sshd_enable="YES" #NATD natd_enable="YES" natd_interface="em1" natd_flags="-s -m" #ICMP icmp_drop_redirect="YES" icmp_log_redirect="YES" #sendmail disable sendmail_enable="NO" sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" #localisation keymap="ru.koi8-r.kbd" #Mouse usbd_enable="YES" usbd_flags="" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="NO" firewall.my #!/bin/sh #ipfw resetlog fwcmd="/sbin/ipfw" extinterface="em1" intinterface="em0" #zamena na dom ru extip="10.65.2.254" intip="10.65.1.251" extnet="10.65.2.0/24" intnet="10.65.1.0/24" httpserver="10.65.1.251" natdinterface="em1" #dns1="109.194.16.1" #dns2="109.194.17.1" dns1="10.65.1.253" dns2="10.65.2.253" ${fwcmd} -f flush #lo0 ${fwcmd} add pass all from any to any via lo0 ${fwcmd} add deny all from any to 127.0.0.0/8 ${fwcmd} add deny all from 127.0.0.0/8 to any #zapretit lubie pakety dlia sety localnet na vneshnem int #${fwcmd} add deny all from ${intnet} to any in via ${extinterface} #zapretit lubie pakety dlia sety extnet na vnutrennem int #${fwcmd} add deny all from ${extnet} to any in via ${intinterface} #zapretit dostup k privatnim setiam nahod snarushi #${fwcmd} add deny all from any to 10.0.0.0/8 via ${extinterface} #${fwcmd} add deny all from any to 169.254.0.0/16 via ${extinterface} #${fwcmd} add deny all from any to 224.0.0.0/4 via ${extinterface} #${fwcmd} add deny all from any to 240.0.0.0/4 via ${extinterface} #razreshit obmen mezhdu podsetiamy ${fwcmd} add allow all from 10.65.2.0/24 to 10.65.1.0/24 ${fwcmd} add allow all from 10.65.1.0/24 to 10.65.2.0/24 #razreshit ping dlia testov ${fwcmd} add allow icmp from any to any via ${intinterface} ${fwcmd} add allow icmp from any to any via ${extinterface} #${fwcmd} add allow all from any to any via ${intinterface} #FWD1 #${fwcmd} add fwd 10.65.1.251,80 tcp from any to 10.65.2.254 80 keep-state #${fwcmd} add fwd 10.65.1.251,443 tcp from any to 10.65.2.254 443 keep-state #${fwcmd} add fwd 10.65.1.251,20 tcp from any to 10.65.2.254 1022 keep-state #http redirect ${fwcmd} add divert 8888 tcp from any to ${extip} 80 via ${extinterface} ${fwcmd} add divert 8888 tcp from any to ${extip} 443 via ${extinterface} ${fwcmd} add divert 8888 tcp from any to ${extip} 1022 via ${extinterface} ${fwcmd} add divert 8888 ip from ${httpserver} to any via ${extinterface} #Run natd natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:80 80 natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:443 443 natd -p 8888 -n em1 -redirect_port tcp ${httpserver}:1022 20 #FWD #${fwcmd} add fwd ${httpserver},80 tcp from any to 10.65.2.254 80 setup #${fwcmd} add fwd ${httpserver},443 tcp from any to 10.65.2.254 443 setup #${fwcmd} add fwd ${httpserver},20 tcp from any to 10.65.2.254 1022 setup ${fwcmd} add allow tcp from any to 10.65.2.254 80 via any ${fwcmd} add allow tcp from any to 10.65.2.254 443 via any ${fwcmd} add allow tcp from any to 10.65.2.254 20 via any ${fwcmd} add allow tcp from any to ${httpserver} 80 via any ${fwcmd} add allow tcp from any to ${httpserver} 443 via any ${fwcmd} add allow tcp from any to ${httpserver} 1022 via any #Zapretit dostup iz privatnih setei snaruzhi #${fwcmd} add deny all from 0.0.0.0/8 to any via ${extinterface] #${fwcmd} add deny all from 169.254.0.0/8 to any via ${extinterface} #${fwcmd} add deny all from 224.0.0.0/8 to any via ${extinterface} #${fwcmd} add deny all from 240.0.0.0/8 to any via ${extinterface} #Razrezhit hozhdenie paketov vnutri sety localnet cherez vnutrennii interface ${fwcmd} add allow all from any to any via ${intinterface} ${fwcmd} add allow all from any to any via ${extinterface} #Razreshit vihod vseh tipov paketov cherez vneshniy interface ${fwcmd} add allow tcp from ${extip} to any out via ${extinterface} #Razreshit vse ustanovlennie soedinenia ${fwcmd} add allow tcp from any to any established #Razreshit dostavku fragmentov paketov ${fwcmd} add allow all from any to any frag #Razreshit otvety s dns serverov c 53 porta po udp na vse mashiny ${fwcmd} add allow udp from ${dns1} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${dns2} 53 to any in via ${extinterface} ${fwcmd} add allow udp from ${extip} to ${dns1} 53 keep-state ${fwcmd} add allow udp from ${extip} to ${dns2} 53 keep-state #zapretit vse broadkasty ${fwcmd} add deny ip from any to 255.255.255.255 #zapretit rabotu po windows netbios portam #${fwcmd} add deny udp from any to any 137,138 via ${extinterface} #${fwcmd} add deny tcp from any to any 135,139 via ${extinterface} #zapretit ident zaprosy ${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface} ${fwcmd} add 65534 deny log ip from any to any вывод ipfw -t list http://i056.radikal.ru/1509/36/fa0128a8f2be.jpg Сайт все так и не открывается. Нужен еще совет,любой)
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "правильная настройка ipfw+natd freebsd"	+/–
	Сообщение от skivik (ok) on 29-Сен-15, 11:29
	>[оверквотинг удален] > #zapretit rabotu po windows netbios portam > #${fwcmd} add deny udp from any to any 137,138 via ${extinterface} > #${fwcmd} add deny tcp from any to any 135,139 via ${extinterface} > #zapretit ident zaprosy > ${fwcmd} add reset tcp from any to ${extip} 113 via ${extinterface} > ${fwcmd} add 65534 deny log ip from any to any > > вывод ipfw -t list > http://i056.radikal.ru/1509/36/fa0128a8f2be.jpg > Сайт все так и не открывается. Нужен еще совет,любой) Вообщем все работает у меня, была проблема не в freebsd а в виндовом керио что стояло за ним, машрутизировалось неверно.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору