The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Настройка FireWall (ipfw) в FreeBSD (f..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Настройка FireWall (ipfw) в FreeBSD (f..."  +/
Сообщение от auto_topic on 26-Сен-03, 09:15 
Обсуждение статьи тематического каталога: Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)

Ссылка на текст статьи: https://www.opennet.ru/base/net/ipfw_guide.txt.html

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Tigran Parsadanian email on 26-Сен-03, 09:15 
Очень нужная статья!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Василий on 06-Ноя-03, 15:25 
думал, что понимаю - прочитал, понял, что раньше не понимал... Хорошая статья.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Константин on 12-Ноя-03, 00:13 
   /sbin/ipfw pipe 1 config bw 1000Kbit/s
   /sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000
   /sbin/ipfw queue 2 config pipe 2 weight 75 mask dst-ip 0x00000000
   /sbin/ipfw add queue 1 ip from any to 192.168.0.1/25
   /sbin/ipfw add queue 2 ip from any to 192.168.0.128/25

В третьей строке pipe 2 или всё-таки 1?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Евгений. on 19-Ноя-03, 11:52 
А будет ли приведенный пример работать?
Я вижу только одно правило с divert:
   ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
Т.е. нат сменит адрес у пакета из внутренней сети и засунет его обратно в поток пакетов.
А что будет, когда ответ на этот пакет придет из внешней сети? Эта схема будет работать только при использовании nat'ом ключа -s (-use_sockets).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Belal email on 09-Дек-03, 16:22 
Пример с справедливым разделением с указанием нулевой маски в очереди:
sbin/ipfw pipe 1 config bw 1000Kbit/s
   /sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000
   /sbin/ipfw add queue 1 ip from any to 192.168.0.1/24  - почему адрес назначения по прежнему заканчивается на 1? ведб получиться опять деление чет/нечет ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Ilja email on 26-Июн-04, 23:47 
Один вопрос:
не указав mask dst-ip 0x00000000, будет ли выполнятся функция так же? Т.е. можно ли не указывать mask dst-ip 0x00000000?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Люди помогите пожалуйста Настройка FireWall (ipfw) в FreeBSD..."  +/
Сообщение от dima email(??) on 02-Фев-05, 12:46 
Почуму настройки ipfw не пропускают почту из локальной сети в интернет, почему не работает принудительное проксирование. Помогите пожалуйста уже неделю сижу с этим. Спасибо
ournet='192.168.168.0/24'
    uprefix='192.168.168'
    ourmask='255.255.255.255'
    local='192.168.168.200'
    ifout='ipln'
    ifuser='rl0'
    ${fwcmd} add 150 check-state
    
    ${fwcmd} add 210 reject ip from ${ournet} to any in via ${ifout}
    
    ${fwcmd} add 310 allow tcp from me to any keep-state via ${ifout}
    ${fwcmd} add 320 allow icmp from any to any    
    ${fwcmd} add 330 allow udp from me to any domain keep-state
    ${fwcmd} add 340 allow udp from any to me domain
    ${fwcmd} add 350 allow ip from me to any

    ${fwcmd} add 400 allow tcp from any to me ssh
    ${fwcmd} add 410 allow tcp from ${ournet} to me ftp,20,http,3128

    #РПЮФБ
    ${fwcmd} add 420 allow tcp from any to any pop3,imap4,smtp
    ${fwcmd} add 425 allow ip from any  pop3,imap4,smtp to any  
    
    #РЕТЕОБРТБЧМЕОЙЕ
    ${fwcmd} add 500 fwd ${local},3128 tcp from ${ournet} to any http,8000-8100 out via ${ifout}
    
    ${fwcmd} add 510 divert natd ip from ${ournet} to any out via ${ifout}

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Oleg email(??) on 18-Мрт-05, 18:55 
Или я что то не понял или тут не все показано:
[quote]
...Вот общий вид правила firewall:
   [prob ] [log [loamount ]] from to

   где:
   - целое число в диапазоне от 1 до 65535. Правило...
[/quote]

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от xOr (??) on 03-Апр-05, 21:32 
Уважаемые читатели, Kuzmich давно увидел некоторые ошибки в своей статье, но видимо исправить их тут невозможно.
Вместо маски 0x00000000 надо указывать 0xFFFFFFFF
(AND с маской 0 даст всегда 0, то есть отдельных канало вне будет).

А в примере
  /sbin/ipfw pipe 1 config bw 1000Kbit/s
   /sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000
   /sbin/ipfw queue 2 config pipe 2 weight 75 mask dst-ip 0x00000000
   /sbin/ipfw add queue 1 ip from any to 192.168.0.1/25
   /sbin/ipfw add queue 2 ip from any to 192.168.0.128/25

в строке 3 действительно надо указывать pipe 1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Павел email(??) on 07-Апр-05, 10:46 
Люди помогите
В внутреней сети находится серверпод IIS
ево надо выпустить наружу в нате все прописано и в dns
Какие команды ндо добавить в файл фаервола что бы он свободно пропускал запросы по 80 порту снаружи ????
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от woodmin on 29-Апр-05, 12:10 
Господа. Так как всетаки быть с NAT. Павила то неработают. И с use_socket и без.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Banan email on 02-Июн-05, 17:53 
Гы :) Тема еще актуальна. Я как раз почти доделал свою переделку - ибо такая схема фиревола крайне гибкая, а мне дома подфартила локалка с интернетом через VPN, и вот таким способом очень удобна кидать запросы на разные natd, рулить трубы и делать гадости пользователям :) Помню как мучался с этой схемой и ничего не выходило. А тут жизнь заставила.. Собсно вот оно. Рабочее. ep0 - внешний интерфейс, rl0 - внутренний. Дабы пользователи имеющие адресок принадлежащий внутренней сети, могли печатать через принтспулер на самбе добавленно соответствующее правило ДО правил индивидуального допуска. Повторяю - это недоделка, но недоделка не самая небезопасная. В днс и сквиде свои допуски.


#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipnet="xxx.xxx.xxx.xxx/24"
ipout="xxx.xxx.xxx.xxx"
ifout="ep0"
ifuser="rl0"
# CLEAR RULES
ipfw -q flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# START DENYING
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 17 reject ip from ${ournet} to any in via ${ifout}
ipfw add 19 deny tcp from any to any 137,138,139,445 via ${ifout}
ipfw add 20 deny udp from any to any 137,138,139,445 via ${ifout}
ipfw add 21 deny ip from 69.134.205.181 to any
ipfw add 22 deny ip from any to 69.134.205.181
# THIS MUST BE
ipfw add 70 allow all from any to any via lo
# NETBIOS
ipfw add 71 allow udp from me to any 137,138 out via ${ifuser}
ipfw add 72 allow udp from any 137,138 to any out via ${ifuser}
ipfw add 73 allow tcp from me to ${ournet} 139,445 out via ${ifuser}
ipfw add 74 allow tcp from me 139,445 to ${ournet} out via ${ifuser}
ipfw add 75 allow udp from me to any 137,138 in via ${ifuser}
ipfw add 76 allow udp from any 137,138 to any in via ${ifuser}
ipfw add 77 allow tcp from ${ournet} to me 139,445 in via ${ifuser}
ipfw add 78 allow tcp from ${ournet} 139,445 to me in via ${ifuser}
# ALLOW DNS
ipfw add 80 allow udp from me to any 53 keep-state
ipfw add 81 allow udp from any to me 53 keep-state
# ALLOW NTP
ipfw add 85 allow ip from 195.2.64.5 to me via ${ifout}
ipfw add 86 allow ip from me to 195.2.64.5 via ${ifout}
# SQUID
ipfw add 250 fwd 127.0.0.1,3128 tcp from ${ournet} to any 80,443 out via ${ifout}
# FROX
ipfw add 251 fwd 127.0.0.1,2121 tcp from ${ournet} to any 21 out via ${ifout}
# NATD INTERNET
ipfw add 300 divert natd ip from ${ournet} to any out via ${ifout}
ipfw add 400 divert natd ip from any to ${ipout} in via ${ifout}
#------------------ USER SECTION ----------------------------
# USER 1
ipfw add 1002 allow ip from ${ourprefix}.4 to any in via ${ifuser}
ipfw add 1003 allow ip from any to ${ourprefix}.4
# USER 2
ipfw add 1004 allow ip from ${ourprefix}.123 to any in via ${ifuser}
ipfw add 1005 allow ip from any to ${ourprefix}.123
#------------------ OUT SECTION -----------------------------
ipfw add 1410 allow ip from ${ipout} to any out via ${ifout}
ipfw add 1400 allow ip from any to ${ipout} in keep-state via ${ifout}
# DENY BROADCASTS WITHOUT LOGGING
ipfw add 2999 deny all from any to 255.255.255.255 via ${ifout}
# DENY ANYTHING ELSE WITH LOGGING
ipfw add 3000 deny log ip from any to any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Banan email on 13-Сен-05, 22:23 
Мучался тут... если долго.
Почитал оригинал статьи еще. У автора пара недочетов в скрипте. Выкладываю рабочий вариант. У меня на роутере стоит ntp сервер, dns сервер (кэширующий всего лишь), squid на порту 3129, mathopd (small http sever) ради банерорезки со статистикой на порту 8000, vsftpd на порту 2121 смотрящий и внутрь и в наружу. Natd запущен с ключами -s -u, в сквиде разрешены запросы от 192.168.0.0/24 То же самое в DNS сервере. Если не будет правила 1500, пакеты из natd пойдут прямиком на правило 3000, но сквид работать будет без вопросов. Вроде пояснил.

#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipout="xx.x.xx.xx"
ifout="ep0"
ifuser="rl0"
# CLEAR RULES
ipfw -q flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# DENY PART I
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 12 reject ip from ${ournet} to any in via ${ifout}
ipfw add 13 deny all from any to 255.255.255.255 via ${ifout}
ipfw add 14 deny all from any to 255.255.255.255 via ${ifuser}
ipfw add 16 deny udp from any to any 137,138 via ${ifout}
# THIS MUST BE
ipfw add 100 allow all from any to any via lo
ipfw add 101 allow ip from me to any keep-state via ${ifout}
#----------------- FOREIGN IN --------------------------------
# OUTSIDE DNS
ipfw add 121 allow udp from xx.x.x.x to me 53 in via ${ifout}
# OUTSIDE FTP
ipfw add 122 fwd 127.0.0.1,2121 tcp from any to me 20,21 in via ${ifout}
#----------------- LOCAL SECTION ----------------------------
# LOCAL DNS
ipfw add 150 allow udp from ${ournet} to me 53 in via ${ifuser}
# LOCAL NTP
ipfw add 151 allow udp from ${ournet} to me 123 in via ${ifuser}
# LOCAL FTP
ipfw add 152 fwd 127.0.0.1,2121 tcp from ${ournet} to me 20,21 in via ${ifuser}
# LOCAL HTTP
ipfw add 153 fwd 192.168.0.3,8000 tcp from ${ournet} to me 80 via ${ifuser}
#----------------- FORWARD SECTION -------------------------
# SQUID
ipfw add 299 fwd 127.0.0.1,3129 tcp from ${ournet} to any 80,443 out via ${ifout}
# NATD
ipfw add 300 divert natd all from any to any via ${ifout}
#------------------ USER SECTION ----------------------------
#ipfw add 1000 allow ip from any to ${ournet}
# MIROSLAV
ipfw add 1002 allow ip from ${ourprefix}.5 to any in via ${ifuser}
ipfw add 1003 allow ip from any to ${ourprefix}.5
# BANANMAC
ipfw add 1004 allow ip from ${ourprefix}.11 to any in via ${ifuser}
ipfw add 1005 allow ip from any to ${ourprefix}.11
# NOTEBOOK
ipfw add 1006 allow ip from ${ourprefix}.84 to any in via ${ifuser}
ipfw add 1007 allow ip from any to ${ourprefix}.84
# TEST PC
ipfw add 1008 allow ip from ${ourprefix}.10 to any in via ${ifuser}
ipfw add 1009 allow ip from any to ${ourprefix}.10
#--------------------------------------------------------------
# NATD OUT
ipfw add 1500 allow ip from ${ipout} to any out via ${ifout}
# DENY ANYTHING ELSE
ipfw add 3000 deny ip from any to any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Squall on 14-Июл-05, 19:01 
Какие команды ндо добавить в файл фаервола что бы он свободно пропускал запросы по 80 порту снаружи ????
""
такие и добавляй ipfw add 1000 pass ip from any 80 to any via внутренний интерфейс...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от mir email(??) on 07-Окт-05, 11:21 
А как быть с ftp
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Banan email on 11-Окт-05, 04:00 
>А как быть с ftp
#!/bin/sh
ournet="192.168.0.0/24"
ourprefix="192.168.0"
ipout="*.*.*.*"
ipuser="192.168.0.*"
ifout="xl0"
ifuser="xl1"
# CLEAR RULES
ipfw -q flush
ipfw -f pipe flush
ipfw -f queue flush
# BEGIN FIREWALLING
ipfw add 10 check-state
# DENY PART I
ipfw add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 12 reject ip from ${ournet} to any in via ${ifout}
ipfw add 14 deny all from any to 255.255.255.255
ipfw add 16 deny udp from any to any 137,138
# THIS MUST BE
ipfw add 30 allow all from any to any via lo
ipfw add 31 allow ip from me to any keep-state
#----------------- FOREIGN IN --------------------------------
# OUTSIDE FTP, FTPDATA
ipfw add 43 allow tcp from any to me 20,21,49153 in via ${ifout}
#----------------- LOCAL SECTION ----------------------------
# LOCAL DNS, NTP
ipfw add 50 allow udp from ${ournet} to me 53,123 in via ${ifuser}
# LOCAL FTP, SSH, HTTP, FTPDATA
ipfw add 55 allow tcp from ${ournet} to me 20,21,22,8000,49153 in via ${ifuser}
#----------------- FORWARD SECTION -------------------------
# SQUID
ipfw add 59 fwd 127.0.0.1,3129 tcp from ${ournet} to any 80 out via ${ifout}
# NATD
ipfw add 60 divert natd all from any to any via ${ifout}
#------------------ USER SECTION ----------------------------
# LOCAL ICMP
ipfw add 70 allow icmp from ${ournet} to any in via ${ifuser}
ipfw add 71 allow icmp from any to ${ournet}
# LOCAL ICQ
ipfw add 80 allow tcp from ${ournet} to any 5190 in via ${ifuser}
ipfw add 81 allow tcp from any 5190 to ${ournet}
#--------------------------------------------------------------
# USER DUMMYNET OUT
ipfw pipe 1 config bw 128Kbit/s
ipfw queue 1 config pipe 1 weight 50 queue 20 mask src-ip 0xffffffff
# USER DUMMYNET IN
ipfw pipe 2 config bw 128Kbit/s
ipfw queue 2 config pipe 2 weight 50 queue 40 mask dst-ip 0xffffffff
# DUMMYNET USER
ipfw add 59901 queue 1 ip from ${ournet} to any in via ${ifuser}
ipfw add 59902 queue 2 ip from any to ${ournet}
#--------------------------------------------------------------
# OUTSIDE ICMP
ipfw add 59998 allow icmp from any to me in via ${ifout}
# GLOBAL OUT
ipfw add 59999 allow ip from ${ipout} to any out via ${ifout}
# DENY ANYTHING ELSE WITH LOGGING
ipfw add 60000 deny ip from any to any

правило за номером 43 и vsftpd. proftpd тоже сойдет: нужен ftp сервер с отстраиваемыми номерами портов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Valera email(??) on 26-Апр-06, 03:53 
Привет.Не могу Нат настроить...
Для ФРИБСД 4.4. все описывается вот так:
/sbin/ipfw add divert natd all from 192.168.11.199 to any via ng0
Но у МЕНЯ 6.0.!!!
Детальней:
подключение к Инету:tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 193.238.152.25 --> 193.238.152.1 netmask 0xffffffff

Подключение к mpd:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
inet 192.168.10.1 --> 192.168.11.200 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
inet 192.168.10.1 --> 192.168.11.199 netmask 0xffffffff
ng2 и т.д.

Надо натить: ng0,ng1,ng2...ngXX==>tun0
ИП известны для каждого отдельного ngXX и для каждого можно запустить свое правило(свой скрипт).

Это скорее постановка задачи, которую не могу решить...
ЗЫ:ОСЬ FreeBSD+ipfw+natd(хотя не принципиально)

А вопрос звучит так:
есть множество ngXX и tun0, надо что бы каждый из ngXX мог ходить в Сеть за tun0...
Помогите с реализацией?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Mad email(??) on 30-Апр-06, 12:18 
Статья безспорно интересная, но неужели на opennet.ru никто не задумывается о форматировании текста ? Выравнивание и всё такое...
+ некоторых мелочей нехватает, например тут:

[prob ] [log [loamount ]] from to

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от A1ex on 22-Ноя-06, 17:05 
Спасибо за статью. Новичёк.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от alekciy email(ok) on 16-Мрт-07, 02:23 
Статья понравилась. Орфографию вот только бы немного попровить (Word еще ни кто не отменил), ну, и как уж говорили, форматирование текста бы сделать получше.

Кстати такая вот описка: "...правило 200 апрещает появление пакетов с адресом, принадлежащим внутреней сети, ..." хотя пишут о 210 правиле. Ну и чуть ниже тоже нужно сменить 210 на 200.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от rynika on 29-Авг-07, 17:42 
Помогите понять  как работает nat и FireWall.Как они взаимодействуют , или подскажите где почитать , я просто савсем закипел.В моей голове даже во сне это все вертится но физически не могу понять как это сделать, как отделить сетку от инета ? И вообще как оно все дложно быть устроено!?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от greenwar (ok) on 15-Сен-07, 13:38 
как работает IPFW: http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=32

про нат тоже где-то была..
вкраце: у тебя есть шлюз на фре, у него 2 сетевых карты.
к 1 - rl0 - подключен кабель от провайдера, дающего инет
ко 2 - rl1 - подключен кабель, который уходит на свитч, в который воткнуты все компы твоей локальной сети
эти компы в локальной сети имеют заранее выделенные для них айпишники для внутренних сетей. таких айпишников в интернете быть не может. они могут использоваться только в локалках. их и используют все, кто админит офисы, компании и т.д.
к таким айпишникам относятся 10.?(не помню).x.x 192.168.x.x, 172.?.x.x вроде и вроде ещё какие-то.
ну так вот, поскольку "инет" не поймёт, если вдруг твоя локалка начнёт лазать там со своими 192.168.0.5 или 192.168.10.10 и т.д. (их просто пошлют на йюх без вариантов и будут правы), для этого существует NAT - Network Adresses Translation (переводчик сетевых адресов).
он занимается тем, что выдаёт айпишникам локалки тот айпишник, который висит на внешнем интерфейсе rl0 с реальным инетовским айпишником, выданным провом и, соответственно, наоборот.
комп васи пупкина из локалки знает, что все васины запросы следует слать на шлюз локалки, который ловит эти запросы на интерфейсе rl1. приходит на rl1 от 192.168.0.5, а уходит в инет с rl0 от <реальный IP выданный провом). когда пакеты для васи (это записано в пакетах "для кого) приходят обратно на rl0, NAT их обратно ретранслирует и они уползают по адресу 192.168.0.5

значение GATEWAY в опциях операционки собственно означает всего-лишь, что пакеты вообще-то надо иногда ещё и передавать с одной сетевухи на другую, а не тупо их забирать всегда себе

файрволл - стена между сетевухами и самой операционкой. если пакеты (трафик в инете на нижнем уровне делится по пакетам) не найдут ни 1 удовлетворяющего правила в настройках файрвола, кроме 65535 deny ip from any to any, то ОС никогда и не узнает, что был такой пакет..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от greenwar (ok) on 08-Окт-07, 17:08 
по поводу правила 350 надо сделать добавление
${ipfw} add 350 allow ip from me to any
"Правило 350 разрешает серверу посылать любые пакеты куда угодно - сами себе то мы доверяем, не правда ли?"

во 1, "me" требует много вычислительных ресурсов и его надо использовать редко, либо вообще не использовать
во 2, если такое воткнуть ПОСЛЕ НАТа, вся локалка будет совершенно свободно ходить в инет, т.к. у неё в пакетах значатся уже адрес внешнего интерфейса сего сервера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Jack The Ripper on 09-Окт-07, 15:20 
Автор видать преподаватель - написано толковее всех! Сохранил себе на диск. Не понятно только как организовать это все без динамических правил.
65535 allow ip from any to any?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Steel Rat email on 29-Окт-07, 12:03 
Статья просто жир!!! Спасибо автору, она мне открыла глаза на много чего ранее непонятного
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Pahanivo email(??) on 23-Мрт-08, 10:45 
>> указание маски 0x00000000 создаст собственный канал для каждого IP-адреса

Указание маски 0xffffffff создаст для каждого, а вот ваша маска - как раз загонит всех в один пайп.
Стать гут - но в течении минуты прочтения нашел кучу таких опечаток, сходу. А ведь у неопытного человека и крышак сорвать может когда он начнет разбираться ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от жжорик on 06-Окт-09, 08:36 
вот у меня неопытного крышак и сорвало..не могу переварить
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Yura email(??) on 09-Фев-10, 10:45 
А подскажите к примеру как закрыть все порты и открыть по очередно только нужные, напишите команды пожалуйста!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от jeltoesolnce email on 12-Мрт-10, 16:35 
http://bozza.ru/art-92.html - Вот приличные примеры.ё
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Wolos email on 03-Мрт-10, 14:46 
У меня не работают правила по доменным именам, только по IP. Точне даже не работает шлюз как только внесу хоть одно правило типа
add deny tcp from all to www.disabled.ru, сразу прекращается любая связ с инетом, как будто остаётся только правило 65535 =(
Ещё пробовал add -N deny tcp from all to www.disabled.ru и запрещать не только tcp но и all - результат один.
ip в доменное имя шлюз резольвит.
где искать проблему?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от scompick on 10-Мрт-10, 11:45 
Самая четкая статья про фаервол из мной виденных! Спасибо брат!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от KES (ok) on 22-Июл-10, 23:49 
http://kes.net.ua/softdev/advanced_firewall.html
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от Nikolay (??) on 06-Окт-10, 10:43 
Как понимать в логе строки вида:

ipfw: 10 Deny P:2 192.168.0.1 224.0.0.2 in via eth2
ipfw: 1139 Accept P:2 88.86.218.72 224.0.0.2 out via eth1
ipfw: 1150 Deny P:89 88.86.218.65 224.0.0.5 in via eth1
ipfw: 1150 Deny P:89 217.24.176.97 224.0.0.5 in via eth1
ipfw: 1150 Deny P:89 83.167.20.193 224.0.0.5 in via eth1
ipfw: 1150 Deny P:89 88.86.218.161 224.0.0.5 in via eth1

В первую очередь, непонятны "P:2", "P:89" - протокол по номеру?
Здесь "мои" адреса только 192.168.0.1, 88.86.218.72, 88.86.218.65 (шлюз). Это так хакеры лезут?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Настройка FireWall (ipfw) в FreeBSD (freebsd ipfw firewall)"  +/
Сообщение от KES (ok) on 07-Окт-10, 00:41 
> Как понимать в логе строки вида:
> ipfw: 10 Deny P:2 192.168.0.1 224.0.0.2 in via eth2
> ipfw: 1139 Accept P:2 88.86.218.72 224.0.0.2 out via eth1
> ipfw: 1150 Deny P:89 88.86.218.65 224.0.0.5 in via eth1
> ipfw: 1150 Deny P:89 217.24.176.97 224.0.0.5 in via eth1
> ipfw: 1150 Deny P:89 83.167.20.193 224.0.0.5 in via eth1
> ipfw: 1150 Deny P:89 88.86.218.161 224.0.0.5 in via eth1
> В первую очередь, непонятны "P:2", "P:89" - протокол по номеру?
> Здесь "мои" адреса только 192.168.0.1, 88.86.218.72, 88.86.218.65 (шлюз). Это так хакеры
> лезут?

1. да
2. Это у вас ospf работает: 224.0.0.5 - это мультикастовый адрес на который ospf шлет хелло-запросы

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру