The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ошибка в правилах ipfw?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Ошибка в правилах ipfw?"  
Сообщение от alex123 (??) on 06-Ноя-08, 02:31 
Помогите найти ошибку в правила: пакеты наружу идут а обратно --нет :(

Да, я составил слишком мудрёные правила и 90% пакетов через нихне пройдут, правила составленны криво, зато легко ипонятно читаются (надеюсь :))
Хотел чтоб через них проходил фтп и хттп (пусть не все, нохоть стандартные, пусть не все хттп, но фтп то должны!!)

пояснения к правилам:
192.168.1.0/29 -- внутренняя сеть
rl1 -- интерфейс смотрящий во внутреннюю сеть
192.168.0.1 -- ип внутреннего интерфейса
rl0 -- внешний интерфейс
10.4.2.15 -- ип внешнего интерфейса

компьютеры из внутренней сети должны выходить через НАТ на фтп и хттп во внешнюю сеть
sysctl net.inet.ip.fw.one_pass=0

Я наверно туплю, но уже неоднократно перепроверял правила--ошибки невижу :((

Помогите, пожалуйста,
С уважением, Alex123, правила привожу ниже.

Правила:
#=====Firewall Configuration
#var
#inthost="192.168.0.1"
#intnet="192.168.0.0/29"
#outhost="10.4.2.15"
#admcomp="192.168.1.2"
#outinterface="rl0"
#intinterface="rl1"

#Rules Begin

#antihack
#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from ${intnet} to any in via ${outinterface}
# Deny X-scaning
add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 14 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning
add 15 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 16 deny ip from any to any not verrevpath in
add 17 deny ip from ${intnet} to any in via ${outinterface}
add 18 deny ip from ${outhost} to any in via ${intinterface}
# ip-session limit
#add 19 allow ip  from any to any  setup limit src-addr 10
#Deny loop back external acces
#add 20 deny all from any to 127.0.0.0/8
#add 21 deny all from 127.0.0.0/8 to any
#Deny Windows flood
add 24 deny ip from ${intnet} to ${intnet}  135,137-139,445 in via ${intinterface}
add 25 deny ip from any to ${outhost}  135,137-139,445 in via ${outinterface}

#SSH
add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface}
add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface}

#dynamic on
add 40 check-state

#ICMP
add 50 deny icmp from any to any via ${outinterface}

#HTTP/HTTPS/FTP
#from intnet to Global over NAT
add 60 skipto 71 tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 61 skipto 71 udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from Global to intnet over NAT
add 62 skipto 71 tcp from not ${intnet} 20,21,80,8080,443 to ${outhost} via ${outinterface}
add 63 skipto 71 udp from not ${intnet} 20,21 to ${outhost} via ${outinterface}

#NAT
nat 72 config ip ${outhost} same_ports
add 70 deny all from any to any via ${outinterface}
add 71 nat 72 ip from any to any via ${outinterface}

#HTTP/HTTPS/FTP
#from intnet to Global via intinterface
#add 79 allow all from any to any via lo0
add 80 allow tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 81 allow udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from NAT to Global
add 82 allow tcp from ${outhost} to not ${intnet}  20,21,80,8080,443 keep-state via ${outinterface}
add 83 allow udp from ${outhost} to not ${intnet} 20,21 keep-state via ${outinterface}
#from NAT to intnet
add 84 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${outinterface}
add 85 allow udp from not ${intnet} 20,21 to ${intnet} via ${outinterface}
#from Global to intnet via intinterface
add 86 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${intinterface}
add 87 allow udp from not ${intnet} 20,21 to ${intnet} via ${intinterface}

#Deny any all
add 10000 deny all from any to any via ${outinterface}
add 10001 deny all from any to any via ${intinterface}

#Rules END

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ошибка в правилах ipfw?"  
Сообщение от Square (ok) on 06-Ноя-08, 04:08 
>Я наверно туплю,

поставьте логирование и проследите путь прохождения пакета

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ошибка в правилах ipfw?"  
Сообщение от alex123 (??) on 06-Ноя-08, 04:27 
>>Я наверно туплю,
>
>поставьте логирование и проследите путь прохождения пакета

а куда ставить? где может быть затык? исходщие пакеты уходт через ${outinterface}

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ошибка в правилах ipfw?"  
Сообщение от Square (ok) on 06-Ноя-08, 12:58 
>>>Я наверно туплю,
>>
>>поставьте логирование и проследите путь прохождения пакета
>
>а куда ставить? где может быть затык? исходщие пакеты уходт через ${outinterface}
>

чем сложнее правила -тем более вероятно наличие в них ошибки.
начните последовательно с конца...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру