The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"поможите с  ipfw  пожалста, ну не работает этот шайтан!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"поможите с  ipfw  пожалста, ну не работает этот шайтан!"  
Сообщение от svmt email(ok) on 15-Дек-06, 07:44 
Люди помогите разобратся
уперся в проблему которую решить не могу уже неделю! проблема в доступе юзерам на определенные сайты среди которых и https
перечитал кучу доков но чтото никак все.... freebsd 6.1
делаю следующее

Ядро
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=10
options   IPFIREWALL_FORWARD
options   IPDIVERT
options   DUMMYNET
options   TCP_DROP_SYNFIN


rc.conf
ifconfig_sk0="inet 192.168.10.1  netmask 255.255.255.0"     #локалка
ifconfig_fxp0="inet 212.212.212.212  netmask 255.255.255.224"#инет
defaultrouter="212.248.71.33"
gateway_enable="YES"
hostname="myhost.ru"

firewall_enable="YES"
firewall_type="/etc/rc.firewall"
#firewall_script="/etc/rc.firewall"

natd_enable="YES"
natd_interface="fxp0"
natd_flags=""

proftpd_enable="YES"
webmin_enable="YES"
cupsd_enable="YES"

trafd_enable="YES"
trafd_ifaces="sk0"
trafd_flags=" -r -p not port 22"
trafd_log="/var/log/traffic.log"

в штатный /etc/rc.firewall
все прописываю в этой секции:

  ############
  # Only in rare cases do you want to change these rules
  #
vip_ip="192.168.10.0/24{3,33,34,41,42,93,254}"

server_ip="192.168.10.0/24{201}" это внутренний сервак, на нем и экскрементирую :)


здесь разрешенные хосты
ЗЫ возможно это вынести в какой нить файлик и чтоб список
разрешенных считывался оттуда? как это сделать если возможно?
http_work="213.229.166.7,
      136.8.154.169,
      193.183.236.181,
      80.93.56.80,
      82.204.218.11,
      83.222.11.199,
      217.212.42.39,
      194.186.162.17,
      80.68.242.118


  ${fwcmd} add 30 pass all from any to any via lo0

Это для https если правильно понял.....
  ${fwcmd} add 50 allow all from any to any 443
  ${fwcmd} add 50 allow all from any 443 to any

это мне и мнеподобные  
  ${fwcmd} add 90 allow all from ${vip_ip} to any
  ${fwcmd} add 90 allow all from any to ${vip_ip}

Тут начинаются проблемы
не работает и так
  ${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199 via sk0
  ${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201 via sk0

И вот эдак  
  ${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199
  ${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201

в идеале хотел сделать так но оно тоже не айс!
  ${fwcmd} add 110 allow all from ${server_ip} to ${http_work}
  ${fwcmd} add 110 allow all from ${http_work} to ${server_ip}

с этим ваще путаница почемута без этого правила неработают
и в инет шастают вапще все кому не лень
    
${fwcmd} add 300 deny all from any to any via sk0

}

if [ -n "${1}" ]; then
  firewall_type="${1}"
fi


00030     0        0 allow ip from any to any via lo0
00050 26155 15459019 divert 8668 ip4 from any to any via fxp0
00050   121   103671 allow ip from any to any dst-port 443
00050   100    22492 allow ip from any 443 to any
00090  8682   828586 allow ip from 192.168.10.0/24{3,33,34,41,42,93,254} to any
00090 22057 23836213 allow ip from any to 192.168.10.0/24{3,33,34,41,42,93,254}
00100     0        0 allow ip from 192.168.10.201 to 83.222.11.199 via sk0
00100     0        0 allow ip from 83.222.11.199 to 192.168.10.201 via sk0
00300  1073   143294 deny ip from any to any via sk0
65000 11818  1531901 allow ip from any to any
65535   140    18152 deny ip from any to any

вот
люди ну помогите жеж разобратся с этим шайтаном!
ЗЫ
squid не предлагать, хочу с ipfw разобратся


Спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "поможите с  ipfw  пожалста, ну не работает этот шайтан!"  
Сообщение от torchok (ok) on 15-Дек-06, 09:08 
сначала разреши что и кому должно, потом запрети остальным

используй автонумерацию или вручную задавай порядок правил. У тя намешано правил...

>http_work="213.229.166.7,
>     136.8.154.169,
>     193.183.236.181,
>     80.93.56.80,
>     82.204.218.11,
>     83.222.11.199,
>     217.212.42.39,
>     194.186.162.17,
>     80.68.242.118

А где закрывающие кавычки?? Почитай в тематическом разделе - там много. А natd? http://www.opennet.me/docs/RUS/ipfw_rus/ar01s05.html хотя бы это

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "поможите с  ipfw  пожалста, ну не работает этот шайтан!"  
Сообщение от svmt email(ok) on 15-Дек-06, 09:15 
>
>А где закрывающие кавычки??

на самом деле они есть просто писал с чуйством глубокого возмущения
поэтому пропустил....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "поможите с  ipfw  пожалста, ну не работает этот шайтан!"  
Сообщение от Darchik email on 15-Дек-06, 15:47 
Слушай а у тебя прокся стоит?
Если да, то скорее всего в нем проблема
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "поможите с  ipfw  пожалста, ну не работает этот шайтан!"  
Сообщение от Svmt on 16-Дек-06, 10:22 
>Слушай а у тебя прокся стоит?
>Если да, то скорее всего в нем проблема

Нет не стоит
система чистая (пока)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру