The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Заметки о составлении IPFW правил[BR]"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Заметки о составлении IPFW правил[BR]"  
Сообщение от opennews on 24-Окт-07, 17:10 
Олег Воробьёв опубликовал статью (http://www.lissyara.su/?id=1536)
с рассказом о принципе построения правил пакетного фильтра IPFW.

URL: http://www.lissyara.su/?id=1536
Новость: http://www.opennet.me/opennews/art.shtml?num=12522

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Заметки о составлении IPFW правил"  
Сообщение от Аноним on 24-Окт-07, 17:10 
В правиле 4 не должно ли быть deny?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Заметки о составлении IPFW правил"  
Сообщение от sunTechnic on 24-Окт-07, 17:26 
Во Фре есть очень полезная фича: переименование сетевых интерфейсов, так, например, {iif} и {oif} лучше сразу писать типа internal, external.

Делается это в /etc/rc.conf так:
ifconfig_em0_name="internal"
ifconfig_em1_name="external"

Это удобно тем, что вне зависимости какого производителя у вас карточка и на какую вы её в случае чего замените, вам потребуется поменять всего лишь обозначение в /etc/rc.conf, а не отлавливать все скрипты на предмет изменения названия интерфейса.

Плюс размещение в файле строчек типа:
${fwcmd} add allow ip from any to ${MyLan} in via {oif}
не очень удобно в плане дальнейшего модифицирования файрволла на ходу без перезагрузки всех правил, гораздо удобнее всё-таки писать /sbin/ipfw вместо {fwcmd} (благо его не часто переносят):
/sbin/ipfw table 1 add 10.10.10.0/24
/sbin/ipfw add allow ip from any to table(1) in via external

Таким образом можно после редактирования файлика сразу исполнить эту строчку и тем самым добавить в файрволл новое правило.

Всё ИМХО, основанное на продолжительном опыте эксплуатации фри в качестве роутера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Заметки о составлении IPFW правил"  
Сообщение от B.O.B.A.H. (??) on 24-Окт-07, 20:06 
а почему народ не любит стандартный
/etc/rc.firewall
и старается писать свои правила?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Потому что он идиотский"  
Сообщение от Дмитрий Ю. Карпов on 25-Окт-07, 11:19 
Например, в /etc/rc.firewall адреса внутренней сетИ заданы внутри скрипта, а их надо задавать в /etc/rc.conf - этого уже достаточно, чтобы делать свой набор правил.

А вот подгружать правила из текстового файла тоже не очень хорошо, т.к. конструкция с проверкой необходимости natd очень разумна, и $natd_interface берётя из /etc/rc.conf.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Заметки о составлении IPFW правил"  
Сообщение от JJF on 25-Окт-07, 09:16 
>Во Фре есть очень полезная фича: переименование сетевых интерфейсов

Это таки хорошая фича, да, но есть одно но (не знаю, пофиксили ли это в 7 ветке, но на 6.2 этот баг все еще есть) - NETGRAPH очень странно работает с переименованными интерфейсами. Например, у меня mpd категорически отказывается подключаться по pppoe через переименованный интерфейс. Погуглил - оказалось, таки да. Судя по всему, валится ng_ether, который собран с ядром. По идее, его нужно подгружать уже после переименования интерфейса, тогда может быть все и будет нормально, но пока руки не дошли проверить. Кто-то уже боролся?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Заметки о составлении IPFW правил"  
Сообщение от sunTechnic on 25-Окт-07, 12:31 
там тонкость: ng_ether надо грузить модулем после переименования интерфейсов
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Заметки о составлении IPFW правил"  
Сообщение от JJF on 26-Окт-07, 11:51 
Так я об этом же и говорю.
Но все равно это своеобразный косяк, с которым еще попританцовывать надо. Может быть кому-то и пригодится, потому как в нете не сильно много об этой проблеме написано.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Заметки о составлении IPFW правил"  
Сообщение от Аноним on 24-Окт-07, 20:32 
Замечание к статье.
В /etc/rc.conf в firewall_type="" можно указать просто имя файла, из которого стандартный rc.firewall и считает правила, и в самом rc.firewall ничего править не нужно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Заметки о составлении IPFW правил"  
Сообщение от belkin on 24-Окт-07, 20:35 
В очередной раз можно сказать "читайте man" (man ipfw) - лучший источник знаний.

1. Правила загружать правильней не скриптом, который для добавления каждого правила вызывает ipfw, а из текстового файла: /sbin/ipfw /etc/ipfwrules.txt.
2. Для сложных случаев с переменными пользуемся препроцессором:
/sbin/ipfw -p /usr/bin/m4 /etc/ipfwrules.m4 .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Заметки о составлении IPFW правил"  
Сообщение от sk email(??) on 24-Окт-07, 20:44 
а если маленькая ошибочка в этом текстовом файле?
по умолчанию таки в виде скрипта все сделано. Разработчики кто по вашему тогда? идиоты чтоль? ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Заметки о составлении IPFW правил"  
Сообщение от belkin on 24-Окт-07, 21:14 
>а если маленькая ошибочка в этом текстовом файле?
>по умолчанию таки в виде скрипта все сделано. Разработчики кто по вашему
>тогда? идиоты чтоль? ;)

Разработчики чего ? Скрипта rc.firewall ?
А если ошибочка в скрипте - тогда что делать ?

Читаем man ipfw и узнаём о ipfw -n . Позволяет проверить правила без реальной загрузки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Заметки о составлении IPFW правил"  
Сообщение от SunTech on 24-Окт-07, 22:16 
Для этого есть set, сначала правила загружаются в неактивный, потом проверяются, потом он делается активным. Есть пример в examples
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Заметки о составлении IPFW правил"  
Сообщение от Просто человек on 25-Окт-07, 03:27 
ммм....у меня к ночи мозги клинят или я непойму....откуда в правилах 7 и 8 айпишники внутренней сетки появяться на внешнем интерфейсе?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Заметки о составлении IPFW правил"  
Сообщение от northbear (??) on 26-Окт-07, 18:48 
>2. Для сложных случаев с переменными пользуемся препроцессором:
>/sbin/ipfw -p /usr/bin/m4 /etc/ipfwrules.m4 .

Только не m4... в прочем если вы используете sendmail и в ручную пишите sendmail.cf, то m4 вам понравится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Заметки о составлении IPFW правил"  
Сообщение от nuclight email on 25-Окт-07, 06:41 
Автор, как всегда, в своем репертуаре... Экспериментально устанавливал, что происходит с пакетом после divert, тогда как это есть в мане, даже в двух - и divert(4), и natd(8)/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Заметки о составлении IPFW правил"  
Сообщение от Аноним on 25-Окт-07, 10:49 
дык маньяк он и с маном маньяк и без мана
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Заметки о составлении IPFW правил"  
Сообщение от cat email(??) on 27-Окт-07, 10:17 
>Автор, как всегда, в своем репертуаре...

Мы не знакомы, это моя первая статья чтобы говорить о моём репертуаре.

Очень рад что заставил лишний раз перечитать  MAN.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Заметки о составлении IPFW правил"  
Сообщение от Аноним on 25-Окт-07, 13:52 
Да ладно вам автору респект - я сам часто методом научного тыка все пытаюсь выявить а уж если совсе бяд -вот тогда мана. Да я уверен что 70% админов сами с усами...народ у нас такой...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Заметки о составлении IPFW правил"  
Сообщение от Осторожный on 25-Окт-07, 18:17 
Не в тему.
Если уж начали изучать firewall-ы на FreeBSD то
лучше СРАЗУ изучайте pf !
После него на ipfw,iptables смотреть даже не будете :)
Вот только с документацией и примерами не густо но есть хорошие статьи про pf для OpenBSD ( со списком отличий в FreeBSD )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Заметки о составлении IPFW правил"  
Сообщение от belkin on 25-Окт-07, 21:54 
>Не в тему.
>Если уж начали изучать firewall-ы на FreeBSD то
>лучше СРАЗУ изучайте pf !
>После него на ipfw,iptables смотреть даже не будете :)
>Вот только с документацией и примерами не густо но есть хорошие статьи
>про pf для OpenBSD ( со списком отличий в FreeBSD )
>

Не всё так как кажется.
1. Он не умеет на FreeBSD блокировать в ядре IP до запуска себя. Приходится это делать скриптами запуска.
2. В ipfw удобно добавляются, удаляются отдельные правила или наборы.
3. IPFW+Dummynet - удобная вещь для справедливого деления канала между пользователями.

Ну и ещё всякое разное.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Заметки о составлении IPFW правил"  
Сообщение от Serg (??) on 26-Окт-07, 04:22 
> 1. Он не умеет на FreeBSD блокировать в ядре IP до запуска себя. Приходится это делать скриптами запуска.

Ничего не понял, как это скриптами запуска? А при старте ядра загрузить модуль религия не дает?

> 2. В ipfw удобно добавляются, удаляются отдельные правила или наборы.

Аналогично и в pf

> 3. IPFW+Dummynet - удобная вещь для справедливого деления канала между пользователями.

PF замечательно умеет делить канал как вашей душе угодно.

Ничего не имею против IPFW, но прежде чем говорить что какая-то из служб что-то не умеет все же стоит документацию хотя бы глянуть.

Оба фильтра замечательно выполняют свои функции, и могут полностью заменить друг друга.
Тут дело вкуса, и кто к чему привык/лучше знает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Заметки о составлении IPFW правил"  
Сообщение от raistlin email(??) on 26-Окт-07, 09:38 
Уважаемый серг, а какая-нить альтернатива natd есть в OpenBSD? Я согласен что, ПФ Опенка гораздо приятнее ipfw, но вот када нада извраты с натд...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Заметки о составлении IPFW правил"  
Сообщение от cadmi on 28-Окт-07, 09:11 
>Уважаемый серг, а какая-нить альтернатива natd есть в OpenBSD? Я согласен что,
>ПФ Опенка гораздо приятнее ipfw, но вот када нада извраты с
>натд...

там слава богу нет этого угребищного natd, там nat в ядре и сделан прямыми руками, в отличие от возни с divert и левой программой, которая поднимается отдельно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Заметки о составлении IPFW правил"  
Сообщение от belkin on 26-Окт-07, 10:39 
>> 1. Он не умеет на FreeBSD блокировать в ядре IP до запуска себя. Приходится это делать скриптами запуска.
>
>Ничего не понял, как это скриптами запуска? А при старте ядра загрузить
>модуль религия не дает?

Если PF по каким-либо причинам не загрузится, то будет дыра. Без IPFW в таких случаях будет Deny All.

>> 2. В ipfw удобно добавляются, удаляются отдельные правила или наборы.
>
>Аналогично и в pf

"Удобно".

>
>> 3. IPFW+Dummynet - удобная вещь для справедливого деления канала между пользователями.
>
>PF замечательно умеет делить канал как вашей душе угодно.

pipe 1 config bw 10Mbit/s
pipe 2 config bw 10Mbit/s
pipe 3 config bw 768Kbit/s mask dst-ip 0xFFFFFFFF
queue 1 config pipe 1 mask src-ip 0xFFFFFFFF
queue 2 config pipe 2 mask dst-ip 0xFFFFFFFF
add pipe 3 all from 192.168.15.1 to any src-port 3128 out
add queue 1 all from any to any out xmit vlan0
add queue 2 all from 192.168.15.1 to any out

Для каждого клиентского IP-адреса по маске динамически создаёт по одной очереди в каждом направлении и справедливо распределяет пропускную способность между ними не требуя указания пропускной способности канала Internet. Сделайте подобное на FreeBSD с помощью PF.

>Ничего не имею против IPFW, но прежде чем говорить что какая-то из
>служб что-то не умеет все же стоит документацию хотя бы глянуть.

Это вы товарищу Осторожный скажите. Я ему хотел сказать, что если он не знает недостатки PF значит он его плохо знает.

>Оба фильтра замечательно выполняют свои функции, и могут полностью заменить друг друга.

Отличия есть и потому использую оба в разных ситуациях.

>Тут дело вкуса, и кто к чему привык/лучше знает.

Не согласен. Знать надо оба три :-) (ipfw,pf,ipf) чтобы выбрать и использовать лучшее или более подходящее к конкретной ситуации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Заметки о составлении IPFW правил"  
Сообщение от DaemonBSD on 26-Окт-07, 13:28 
По поводу natd и всяких извратов в несколько сетей во FreeBSD - http://www.it-ramenskoe.ru/freebsd_1.html
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Заметки о составлении IPFW правил"  
Сообщение от sdm (??) on 31-Окт-07, 14:03 
>По поводу natd и всяких извратов в несколько сетей во FreeBSD - http://www.it->ramenskoe.ru/freebsd_1.html

ну чего вы лажу всякую тут продвигаете!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Заметки о составлении IPFW правил"  
Сообщение от DaemonBSD on 05-Ноя-07, 10:51 
Эта "лажа" как раз и работает без всяких проблем.
А если у Вас есть Ваша "не лажа" - будьте добры поделиться с остальными (В чем я сильно сомневаюсь ...)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру