форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"IPFW+DIVERT+FWD"	+/–
Сообщение от evac on 04-Сен-11, 16:38
Здравствуйте :) Помогите люди добрые советом мудрым :) Необходимо заходить по SSH на шлюз,RDP и самба redirect через dc0 на 192.168.1.50 через оба интерфейса rl1, rl0. По ssh с данными настройками IPFW не заходит с rl1, коннект есть только после перезагрузки минуты 4-3 потом пропадает.RDP+SAMBA не работают совсем. Freebsd 8.1 Пересобранное ядро DIVERT NAT FORWARD c пропатченным OnePass. 3 сетевых интерфейса rl1(192.168.102.85) rl0(10.101.32.3) - внешние "локалки"(инетернет+локальные ресурсы), dc0 - внутренняя ( необходимо всего три сервиса - RDP и Samba (только с нескольких ip из внешних "локалок" на сервере в dc0) defaultrouter-10.101.32.1 шлюз второй внешней "локалки" - 192.168.102.85 Поднято два ната : 8670 - rl1       порт по умодчанию - rl0 конфа ната у обоих интерфейсов одинаковая se_sockets yes same_ports yes unregistered_only yes redirect_port tcp 192.168.1.50:3389 3389 redirect_port tcp 192.168.1.50:445 445 redirect_port tcp 192.168.1.50:137 137 redirect_port tcp 192.168.1.50:138 138 redirect_port tcp 192.168.1.50:139 139 IPFW server="192.168.1.50" rdpsamba="10.103.57.11, 213.168.6.247, 85.117.91.178" ${fwcmd} flush ${fwcmd} add 10 allow ip from any to any via lo0 ${fwcmd} add 20 deny ip from 127.0.0.1/8 to any ${fwcmd} add 30 deny ip from any to 127.0.0.1/8 ${fwcmd} add 31 allow all from any to any via dc0 ${fwcmd} add 32 fwd 192.168.102.254 ip from 192.168.102.85 to any ${fwcmd} add 33 allow all from any 22 to any ${fwcmd} add 34 allow all from any to any 22 ${fwcmd} add 37 fwd 127.0.0.1, 3128 ip from 192.168.0.0/24 to any 80,443 in recv rl0 ${fwcmd} add 38 fwd 127.0.0.1, 3128 ip from 192.168.0.0/24 to any 80,443 in recv rl1   ${fwcmd} add 39 divert 8670 all from any to any via rl1 ${fwcmd} add 40 divert natd all from any to any via rl0 ${fwcmd} add 52 allow all from ${server} to ${rdpsamba} ${fwcmd} add 53 allow all from ${rdpsamba} to ${server} ${fwcmd} add 57 allow tcp from any 25 to any ${fwcmd} add 58 allow tcp from any to any 25 ${fwcmd} add 59 allow tcp from any 110 to any ${fwcmd} add 60 allow tcp from any to any 110 ${fwcmd} add 70 allow tcp from any to any established ${fwcmd} add 80 allow tcp from me to any setup ${fwcmd} add 90 allow udp from me to any 53 ${fwcmd} add 91 allow udp from any 53 to me ${fwcmd} add 92 allow all from me to any via dc0 ${fwcmd} add 93 allow all from any to me via dc0
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPFW+DIVERT+FWD"	+/–
Сообщение от Aquarius (ok) on 05-Сен-11, 05:03
еще до попытки понять что-бы то ни было (пока она мне видится бессмысленной), с ходу возникают следующие вопросы: 1. что за IP 192.168.102.85? 2. что по замыслу автора должно делать правило ${fwcmd} add 32 fwd 192.168.102.254 ip from 192.168.102.85 to any ? 3. что за IP 192.168.102.254? 4. откуда взялись все правила ipfw? 5. что означает фраза "Пересобранное ядро DIVERT NAT FORWARD c пропатченным OnePass", точнее, три последних слова из нее? 6. каким образом доступен 192.168.1.50? >[оверквотинг удален] > ${fwcmd} add 57 allow tcp from any 25 to any > ${fwcmd} add 58 allow tcp from any to any 25 > ${fwcmd} add 59 allow tcp from any 110 to any > ${fwcmd} add 60 allow tcp from any to any 110 > ${fwcmd} add 70 allow tcp from any to any established > ${fwcmd} add 80 allow tcp from me to any setup > ${fwcmd} add 90 allow udp from me to any 53 > ${fwcmd} add 91 allow udp from any 53 to me > ${fwcmd} add 92 allow all from me to any via dc0 > ${fwcmd} add 93 allow all from any to me via dc0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "IPFW+DIVERT+FWD"	+/–
	Сообщение от Evac on 05-Сен-11, 08:18
	> еще до попытки понять что-бы то ни было (пока она мне видится > бессмысленной), с ходу возникают следующие вопросы: > 1. что за IP 192.168.102.85? > 2. что по замыслу автора должно делать правило > ${fwcmd} add 32 fwd 192.168.102.254 ip from 192.168.102.85 to any > ? > 3. что за IP 192.168.102.254? Извиняюсь , допустил ошибку 1 192.168.102.254 это шлюз rl1 интерфейса 192.168.102.85 в ( ipfw все написано правильно) 2 ${fwcmd} add 32 fwd 192.168.102.254 ip from 192.168.102.85 to any  //// что бы пакеты перенаправлялись через альтернативный шлюз, так как две сетки на выходе rl1 и rl0 3 Не понял сути вопроса, эти правила написаны мной после того как я прочитал ман возможно с ошибками поэтому и прошу совета 4 В FreeBSD 8.1 поломали sysctl one_pass, поэтому для того чтобы трафик после ната уходил в интернет надо ................... в файле /usr/src/sys/netinet/ipfw/ip_fw_pfil.c найдите строчку case IP_FW_NAT: и добавте после неё         if (V_fw_one_pass)             break;         goto again; получится должно примерно так       case IP_FW_NAT:         if (V_fw_one_pass)             break;         goto again;       case IP_FW_REASS:           goto again;        /* continue with packet */ Затем пересоберите ядро после чего one_pass работает как положено. 6 192.168.1.50 находится в сети dc0, в этой сети разрешено все
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема