The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"проблема с заданием правил файрвола для работы шлюза"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"проблема с заданием правил файрвола для работы шлюза"  
Сообщение от cyberr email(ok) on 08-Авг-07, 01:04 
в общем такое дело: машина FreeBSD 6.1 на которой стоит биллинговая система Abills. На машине поднят pptpd который, когда подключаешься к нему создает соединения по типу tun1,tun2, .... и так далее с динамическими айпи-адресами от 10.0.0.1 до 10.0.0.254. Так же на машине поднят NAT(машина работает как шлюз), то есть она маршрутизирует пакеты с виртуальных интерфейсов tun1,tun2,... на интерфейс tun0 -который и есть выход в инет. Проблема в том, что помимо маршрутизации на эти разрешенные интерфейсы, НАТ маршрутизирует и на интерфейс rl1 который как раз смотрит в сеть. Нужно заблокировать трафик с интерфейса tun0 на интерфейс rl1, но таким образом чтобы rl1 был доступен для системы чтобы могли подключаться виртуальные интерфейсы tun1,tum2 и т.д.

вот что на данный момент у меня в правилах файрвола:
# ipfw list
00020 deny ip from 192.168.0.0/24 to any in via tun0
---
здесь еще находятся пайпы которые создают tun интерфейсы, я их удалил за ненадобностью
---
65000 divert 8668 ip from any to any via tun0
65535 allow ip from any to any

вот для наглядности покажу ifconfig:
# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::2e0:4cff:fe00:d50f%rl0 prefixlen 64 scopeid 0x1
        inet 192.168.1.65 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:e0:4c:00:d5:0f
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::2e0:4cff:fe00:da79%rl1 prefixlen 64 scopeid 0x2
        inet 192.168.0.13 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:e0:4c:00:da:79
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492
        inet6 fe80::2e0:4cff:fe00:d50f%tun0 prefixlen 64 scopeid 0x5
        inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xffffffff
        Opened by PID 1951
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
        inet6 fe80::2e0:4cff:fe00:d50f%tun1 prefixlen 64 scopeid 0x6
        inet 192.168.0.13 --> 10.1.0.238 netmask 0xffffffff
        Opened by PID 43621
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
        inet6 fe80::2e0:4cff:fe00:d50f%tun2 prefixlen 64 scopeid 0x7
        inet 192.168.0.13 --> 10.1.0.94 netmask 0xffffffff
        Opened by PID 42428
tun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
        inet6 fe80::2e0:4cff:fe00:d50f%tun3 prefixlen 64 scopeid 0x8
        inet 192.168.0.13 --> 10.1.0.43 netmask 0xffffffff
        Opened by PID 37597
tun4: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
        inet6 fe80::2e0:4cff:fe00:d50f%tun4 prefixlen 64 scopeid 0x9
tun5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
        inet6 fe80::2e0:4cff:fe00:d50f%tun5 prefixlen 64 scopeid 0xa
        inet 192.168.0.13 --> 10.1.0.245 netmask 0xffffffff
        Opened by PID 37015
tun6: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
        inet6 fe80::2e0:4cff:fe00:d50f%tun6 prefixlen 64 scopeid 0xb
        inet 192.168.0.13 --> 10.1.0.93 netmask 0xffffffff
        Opened by PID 38520
и так далее.

что можно прописать в правилах файрвола чтобы заблокировать трафик между интерфейсом tun0 и rl1 ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "проблема с заданием правил файрвола для работы шлюза"  
Сообщение от domas email(??) on 08-Авг-07, 20:18 
>вот что на данный момент у меня в правилах файрвола:
># ipfw list
>00020 deny ip from 192.168.0.0/24 to any in via tun0
>---
>здесь еще находятся пайпы которые создают tun интерфейсы, я их удалил за
>ненадобностью

man dummynet && man ipfw

>что можно прописать в правилах файрвола чтобы заблокировать трафик между интерфейсом tun0
>и rl1 ?

и еще раз RTFM

Прежде чем спрашивать хоть бы доки почитал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру