The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Freebsd84 ipfw+squid - Проблема с натом с почтой, vladkic (ok), 22-Июн-15, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от PavelR (??), 22-Июн-15, 19:49 

Покажите ipfw sh
Ответить | Правка | Наверх | Cообщить модератору

2. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от vladkicemail (ok), 23-Июн-15, 06:16 
> Покажите ipfw sh

# ipfw -a list
00005       0          0 check-state
00010  166696   29233680 allow ip from any to any via lo0
00020       0          0 deny ip from any to 127.0.0.0/8
00030       0          0 deny ip from 127.0.0.0/8 to any
00045 6415962 5598536751 allow ip from any to any established
00047     382      29256 allow icmp from 192.168.0.0/24 to any keep-state
00048      50       2520 allow ip from 192.168.0.0/24 to any dst-port 25 out via igb1 setup keep-state
00049     955      48132 allow ip from 192.168.0.0/24 to any dst-port 995 out via igb1 setup keep-state
00400       0          0 deny ip from any to ::1
00500       0          0 deny ip from ::1 to any
00550     177      13806 deny ip from me to any dst-port 137-139,445 out via igb1
01000    1105      55692 allow ip from 192.168.0.0/24 to any out via igb1 keep-state
01300       0          0 deny ip from any to 172.16.0.0/16 in via igb1
01555       0          0 deny ip from 192.168.0.0/24 to any in via igb1
01600       0          0 deny ip from any to 169.254.0.0/16 in via igb1
01650       0          0 deny ip from any to 224.0.0.0/8 in via igb1
01700       0          0 deny ip from any to 240.0.0.0/8 in via igb1
01800       0          0 deny icmp from any to any frag
01810       6        256 allow tcp from any to any dst-port 25 via igb1
01820       0          0 allow tcp from any 25 to any via igb1
01850       0          0 deny tcp from 192.168.0.0/24 to any dst-port 80 out via igb1
01860       0          0 deny tcp from 192.168.0.0/24 to any dst-port 443 out via igb1
01900       0          0 deny log logamount 200 icmp from any to 255.255.255.255 in via igb1
02000       0          0 deny log logamount 200 icmp from any to 255.255.255.255 out via igb1
02150   12296     824413 divert 8668 ip from any to any via igb1
02400       0          0 deny ip from 172.16.0.0/16 to any out via igb1
02700       0          0 deny ip from 169.254.0.0/16 to any out via igb1
02800       0          0 deny ip from 224.0.0.0/4 to any out via igb1
02900       0          0 deny ip from 240.0.0.0/4 to any out via igb1
03000       0          0 allow ip from any to any established
03100  974945  628926121 allow ip from me to any out xmit igb1 keep-state
03150       0          0 allow udp from 192.168.0.0/24 to 8.8.8.8 dst-port 53 out via igb1 keep-state
03300       0          0 allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
03400       0          0 allow udp from 192.168.0.0/24 to any dst-port 53 out via igb1 established
03600       0          0 allow tcp from any to any dst-port 20,21 out via igb1
03700       4        160 allow tcp from any to a.b.c.d dst-port 49152-65535 via igb1
03800       8        634 allow icmp from any to any icmptypes 0,8,11
03900       0          0 allow tcp from any to a.b.c.d dst-port 22 via igb1
03910  299897   37429734 allow ip from any to 192.168.0.0/24 in via igb0
03920  286860   28291872 allow ip from 192.168.0.0/24 to any out via igb0
03930       0          0 allow ip from any to any established
03950    2063     401601 allow ip from any to any via igb0
10000     481      21616 deny log logamount 200 tcp from any to a.b.c.d in via igb1 setup
65530     485      69019 deny log logamount 200 ip from any to any
65535  895701   64933042 deny ip from any to any

Ответить | Правка | Наверх | Cообщить модератору

3. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от Сергей (??), 23-Июн-15, 08:52 
  какое значение имеет disable_one_pass?

> 00048      50      
>  2520 allow ip from 192.168.0.0/24 to any dst-port 25 out
> via igb1 setup keep-state
> 00049     955      48132
> allow ip from 192.168.0.0/24 to any dst-port 995 out via igb1
> setup keep-state

Уберите эти правила и попробуйте, у вас банально 25 и 995 не доходит до ната...

Ответить | Правка | Наверх | Cообщить модератору

4. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от vladkicemail (ok), 23-Июн-15, 09:10 
>   какое значение имеет disable_one_pass?

net.inet.ip.fw.one_pass: 0


Ответить | Правка | Наверх | Cообщить модератору

5. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от vladkicemail (ok), 23-Июн-15, 09:37 
>> 00048      50
>>  2520 allow ip from 192.168.0.0/24 to any dst-port 25 out
>> via igb1 setup keep-state
>> 00049     955      48132
>> allow ip from 192.168.0.0/24 to any dst-port 995 out via igb1
>> setup keep-state
>  Уберите эти правила и попробуйте, у вас банально 25 и 995
> не доходит до ната...

Убрал и добавил правила сразу после ната:
add allow ip from 192.168.0.0/24 to any 25 out via igb1
add allow ip from any 25 to 192.168.0.0/24 in via igb1
add allow ip from any 25 to 192.168.0.0/24 out via igb0

также отсутствует положительный результат забора и отправки почты - 25 и 995 порты.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от Сергей (??), 23-Июн-15, 13:17 
подставите собственные данные
до ната
add pass all from localnet to any 25 via interface_localnet
add pass all from any to localnet 25 via interface_localnet

Ремарка. выкиньте natd и используйте встроеннный в ipfw nat..

Ответить | Правка | Наверх | Cообщить модератору

7. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от vladkicemail (ok), 23-Июн-15, 13:40 
>  подставите собственные данные
> до ната
> add pass all from localnet to any 25 via interface_localnet
> add pass all from any to localnet 25 via interface_localnet
> Ремарка. выкиньте natd и используйте встроеннный в ipfw nat..

сделал, но пакеты назад не возвращаются:

02050      6      304 allow ip from 192.168.0.0/24 to any dst-port 25 via igb0
02055      0        0 allow ip from any 25 to 192.168.0.0/24 via igb0
02100      6      304 divert 8668 ip from 192.168.0.0/24 to any out via igb1
02110    117    22925 divert 8668 ip from any to a.b.c.d in via igb1

Ответить | Правка | Наверх | Cообщить модератору

8. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от Сергей (??), 23-Июн-15, 14:32 
Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип в OPEN и потихоньку добавляйте свои правила...  

Ответить | Правка | Наверх | Cообщить модератору

9. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от vladkicemail (ok), 23-Июн-15, 17:00 
>  Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип
> в OPEN и потихоньку добавляйте свои правила...

в OPEN режиме попробовал - все работает, но при добавлении ограничивающих правил, он по-прежнему остается открытым и пакеты пропускает.

И в добавок ко всему у меня задача поставлена именно штатным закрытым файрволом все реализовать.

Может еще мысли есть...

Ответить | Правка | Наверх | Cообщить модератору

10. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от Сергей (??), 23-Июн-15, 20:39 
>>  Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип
>> в OPEN и потихоньку добавляйте свои правила...
> в OPEN режиме попробовал - все работает, но при добавлении ограничивающих правил,
> он по-прежнему остается открытым и пакеты пропускает.
> И в добавок ко всему у меня задача поставлена именно штатным закрытым
> файрволом все реализовать.
> Может еще мысли есть...

  Ну там не только OPEN есть...

Ответить | Правка | Наверх | Cообщить модератору

11. "Freebsd84 ipfw+squid - Проблема с натом с почтой"  +/
Сообщение от Square (ok), 25-Июн-15, 15:27 
>> Покажите ipfw sh
> 65530     485      69019 deny log logamount 200 ip from any to any
> 65535  895701   64933042 deny ip from any to any

вас не смущает наличие пакетов одновременно в правилах 65530 и 65535?

Посмотрите какие именно пакеты попали в deny и поймите почему.

Впишите необходимые правила для пропуска этих пакетов (если они вам нужны)

Но вообще..мда...

что значит "не хочет отправлять" ?
Кто не хочет отправлять,клиент через ваш шлюз или сам шлюз?

правило
1810    add    allow tcp from any to any 25 via igb1
это попытка доступа из серой сети к серверу в интернет минуя нат. с серым соответственно адресом. никогда так не заработает :)

правила
3150    add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state
3300    add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
3400    add allow udp from 192.168.0.0/24 to any 53 out via igb1
жгут неподеццки :)
особенно 3300 :)))
опять отчаянная попытка отправить пакет  из серой сети с серым адресом к ДНС серверу в инете...
все что вы отправляете в интернет- должно быть с вашим БЕЛЫМ адресом..тоесть пройти через НАТ....

правила
1850    add deny tcp from 192.168.0.0/24 to any 80 out via igb1     #только через proxy
1860    add deny tcp from 192.168.0.0/24 to any 443 out via igb1
Это глупость.
а если клиент пойдет на 8080 порт?
deny tcp from 192.168.0.0/24 to any 80 должно быть на внутреннем порту!
делается это так:
правило пропуска на ваш прокси (все что не идет по спец портам- идет на прокси)
правило запрещающее все что захотело идти мимо прокси (все что не прошло на прокси и не прошло по спецпортам- запрещено).

причем эти правила не на ИСХОДЯЩЕМ в инет порту, а на ВХОДЯЩЕМ на внутреннем.
файрвол должен отрубать пакеты как можно раньше (на входе) а не обрабатывать пакеты и когда они уже выходят из него- спохватываться и отрубать...

правило
03910  299897   37429734 allow ip from any to 192.168.0.0/24 in via igb0
редкостный бред, если только в вашей сети нет белых адресов и серых сетей больше одной...
from any ... in via igb0 - это вы белые адреса с ВНУТРЕННЕЙ сети на внутренний интерфейс пропускаете?? :)
to 192.168.0.0/24 - вы понимаете вообще что тут никогда ничего кроме вашего серого адреса шлюза не будет в принципе? in via igb0 - это входящие ИЗ СЕТИ на вашу внутреннюю карточку.
тут дестинейшен никакой кроме вашего внутреннего адреса шлюза и белых инет адресов для натящихся пакетиков не будет в принципе. если будет - значит либо вас ломают, либо вы что-то делаете неправильно.

В общем возьмите готовый конфиг, тут на форуме их дофига примеров было.

Если Вы, тем не менее, не воспримете мой совет, вам следует сделать следующее:
1) не экспериментируйте на рабочем шлюзе.

2) создайте три виртуальных машины на каком нибудь офисном компьютере:
виртуальная машина "интернет"
виртуальная машина "шлюз в интернет"
виртуальная машина "внутренняя сеть"

3) воспроизведите настройку файрвола на виртуальной машине "шлюз в интернет"

4) на ВСЕ правила файрвола повесьте логирование.

5) пытайтесь установить соединение с "внутренняя сеть" к "интернет", и смотрите как проходят пакеты через файрвол.

6) через некоторое время вы поймете как работают ip-сети  :)

И сможете сами создать пример конфига ipwf, которых тут на форуме уже дофига работающих ...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру