>[оверквотинг удален]
> 1.
> firewall_script - скрипт, который будет выполнен для старта и заполнения правилами файрвола
> firewall_type - название секции с правилами в стандартном скрипте rc.firewall
> 2. После того как поправите и введете свои правила, которые привели тут,
> сделайте вывод ipwf show или ipfw list, посмотрите набор правил и
> -представьте себе путь пакета icmp к адресату и обратно (в вашем варианте
> нет правил для пакетов от вас, кроме общезапрещающего)
> -представьте себе поведение TCP соединения, если кроме состояния setup по направлению к
> вам вы ничего не рассматриваете (где обработка состояния established ?)
> -как пакеты попадут в какой-либо NAT ?Все равно не получается. Сейчас в /etc/rc.conf
ifconfig_re0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig rl0 ether 00:00:00:00:00:00
ifconfig_rl0="inet 193.x.x.x netmask 255.255.255.192"
defaultrouter="193.x.x.x"
gateway_enable="YES"
ipnat_enable="yes"
ipnat_rules="/etc/ipnat.rules"
firewall_enable="YES"
firewall_script="/etc/ipfw.script"
Файл /etc/ipfw.script с правами 755
#!/bin/sh
# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="rl0" # внешний интерфейс
LanIn="re0" # внутренний интерфейс
IpOut="193.х.х.х" # внешний IP адрес машины
IpIn="192.168.0.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.0.0" # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# Открываем порт 1723 для MPD5
${FwCMD} add allow tcp from any to ${IpOut} 1723 via ${LanOut}
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
Файл /etc/ipnat.rules
map rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 0.0.0.0/32
rdr re0 0/0 port 80 -> 127.0.0.1 port 3128
Не работает!!!! Хотя есть правила ${FwCMD} add allow tcp from any to any established и ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# ipfw list
00100 check-state
00200 allow ip from any to any via lo0
00300 deny ip from any to 127.0.0.0/8
00400 deny ip from 127.0.0.0/8 to any
00500 deny ip from any to 10.0.0.0/8 in via rl0
00600 deny ip from any to 172.16.0.0/12 in via rl0
00700 deny ip from any to 192.168.0.0/16 in via rl0
00800 deny ip from any to 0.0.0.0/8 in via rl0
00900 deny ip from any to 169.254.0.0/16 in via rl0
01000 deny ip from any to 240.0.0.0/4 in via rl0
01100 deny icmp from any to any frag
01200 deny log logamount 1000 icmp from any to 255.255.255.255 in via rl0
01300 deny log logamount 1000 icmp from any to 255.255.255.255 out via rl0
01400 deny ip from 10.0.0.0/8 to any out via rl0
01500 deny ip from 172.16.0.0/12 to any out via rl0
01600 deny ip from 192.168.0.0/16 to any out via rl0
01700 deny ip from 0.0.0.0/8 to any out via rl0
01800 deny ip from 169.254.0.0/16 to any out via rl0
01900 deny ip from 224.0.0.0/4 to any out via rl0
02000 deny ip from 240.0.0.0/4 to any out via rl0
02100 allow tcp from any to any established
02200 allow ip from 193.x.x.x to any out xmit rl0
02300 allow icmp from any to any icmptypes 0,8,11
02400 allow tcp from any to 193.x.x.x dst-port 80 via rl0
02500 allow tcp from any to 193.x.x.x dst-port 14441 via rl0
02600 allow tcp from any to 193.x.x.x dst-port 1723 via rl0
02700 allow tcp from any to any via re0
02800 allow udp from any to any via re0
02900 allow icmp from any to any via re0
03000 deny ip from any to any
65535 allow ip from any to any
Вариант для распечатки
