freebsd 13 Ubilling firewall

[root1 0]

Здравствуйте друзья!

 

Установил через автоматическую установку Stargazer+Ubilling на FreeBSD 13.0 amd64.

С установленного сервера icmp отправляется в локальную сеть.

Но из локальной сети не удается попасть на сервер ни по ssh ни на веб-интерфейс Ubilling.

 

#ipfw -t list

 

00001   allow ip from any to any

 

# service ipfw stop 

 

firewall_allowservices=any into  /etc/rc.conf

не помогло.

 

Что можно еще сделать ?

Відредаговано 2021-06-18 12:23:41 root1

[seversever404 9]

2 часа назад, root1 сказал:

ipfw -t list

 

00001   allow ip from any to any

Всё ? Там больше нет ничего ? Покажите firewall.conf 

Відредаговано 2021-06-18 15:03:00 seversever404

[skybetik 134]

8 часов назад, root1 сказав:

Здравствуйте друзья!

 

Установил через автоматическую установку Stargazer+Ubilling на FreeBSD 13.0 amd64.

С установленного сервера icmp отправляется в локальную сеть.

Но из локальной сети не удается попасть на сервер ни по ssh ни на веб-интерфейс Ubilling.

 

#ipfw -t list

 

00001   allow ip from any to any

 

# service ipfw stop 

 

firewall_allowservices=any into  /etc/rc.conf

не помогло.

 

Что можно еще сделать ?

 

Покажи 

ipfw show

и 

cat /etc/firewall.conf

ну и 

cat /etc/rc.conf

 

Відредаговано 2021-06-18 21:02:40 skybetik

[root1 0]

#ipfw show 

 

Spoiler

00001 392046 69784741 allow ip from any to any
00045     18     1220 allow icmp from table(22) to me
00045    662   124164 allow ip from table(22) to me
00045     12      720 allow ip from me to table(22)
00047      0        0 deny ip from any to me 3306
00047      0        0 deny ip from me 3306 to any
00048      0        0 deny ip from any to me 5555
00048      0        0 deny ip from me 5555 to any
12000      0        0 pipe tablearg ip from table(3) to any via em0 in
12001      0        0 pipe tablearg ip from any to table(4) via em0 out
65533      0        0 deny ip from table(2) to any via em0
65534      0        0 deny ip from any to table(2) via em0
65535    661    86839 allow ip from any to any 

 

cat /etc/firewall.conf

 

Spoiler

#!/bin/sh

# firewall command
FwCMD="/sbin/ipfw -q"
${FwCMD} -f flush

# Interfaces setup
LAN_IF="em0"
# WAN_IF="mlx5en"

# Networks defines
# Users 
${FwCMD} table 2 add /
# Safe zones
${FwCMD} table 22 add 127.0.0.1
${FwCMD} table 22 add 10.10.2.0/24

# Safe zones allow policy
${FwCMD} add 45 allow icmp from table\(22\) to me
${FwCMD} add 45 allow ip from table\(22\) to me
${FwCMD} add 45 allow ip from me to table\(22\)

# ssh access.
#${FwCMD} add 46 deny ip from any to me  dst-port 22
#${FwCMD} add 46 deny ip from me to any src-port 22

# mysql access
${FwCMD} add 47 deny ip from any to me  dst-port 3306
${FwCMD} add 47 deny ip from me to any src-port 3306

# sgconf access
${FwCMD} add 48 deny ip from any to me  dst-port 5555
${FwCMD} add 48 deny ip from me to any src-port 5555

# NAT
#${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports
#${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
#${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

# Shaper - table 4 download speed, table 3 - upload speed
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

# default block policy
${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any

 

cat /etc/rc.conf

 

Spoiler

hostname="localhost"
ifconfig_em0="inet 10.10.2.121 netmask 24"
defaultrouter="10.10.2.251"
sshd_enable="YES"
gateway_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
zfs_enable="YES"
# ====== added by UBinstaller ====

#all needed services
mysql_enable="YES"
apache24_enable="YES"
dhcpd_enable="NO"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/multinet/dhcpd.conf"
dhcpd_ifaces="em0"

ubilling_enable="YES"
ubilling_flags="em0"

#netflow sensor
softflowd_enable="YES"
softflowd_interfaces="em0"
softflowd_em0_collector="127.0.0.1:42111"

#Caching engines
redis_enable="NO"
memcached_enable="NO"
memcached_flags="-l 127.0.0.1 -m 256 -I 16M"

#FreeRADIUS
radiusd_enable="NO"

fsck_y_enable="YES"
background_fsck="NO"

# ==========

#access/shape/nat
firewall_allowservices="any"
firewall_enable="YES" 
#firewall_enable="NO" 
#firewall_nat_enable="YES" 
firewall_nat_enable="NO" 
dummynet_enable="YES" 
firewall_script="/etc/firewall.conf" 

# ========== 

 

[seversever404 9]

1 час назад, root1 сказал:

${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}

Найдите кота ?))

[root1 0]

17 minutes ago, seversever404 said:

Найдите кота ?))

 

закомментировал 2 строчки, не помогло

[seversever404 9]

23 минуты назад, seversever404 сказал:

${FwCMD} add 65533 allow all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65534 allow all from any to table\(2\) via ${LAN_IF}

Вот так попробуйте .

[root1 0]

5 minutes ago, seversever404 said:

Вот так попробуйте .

 

тоже самое:
"Network error: Connection timed out" ...

 

[seversever404 9]

Теперь как можно подробнее . Из локалки с какого айпи и на какой адрес обращайтесь ?

#firewall_nat_enable="YES" 

firewall_nat_enable="NO" 

Что это ? Включите . ( Первое раскоментировать второе удалить )

[seversever404 9]

Это в rc.conf

[seversever404 9]

10 минут назад, seversever404 сказал:

firewall_nat_enable="NO" 

А Билл у вас шлюзом будет ?

 

[root1 0]

6 minutes ago, seversever404 said:

А Билл у вас шлюзом будет ?

 

нет пока он будет стоять рядом с шлюзом

 

17 minutes ago, seversever404 said:

Теперь как можно подробнее . Из локалки с какого айпи и на какой адрес обращайтесь ?

#firewall_nat_enable="YES" 

firewall_nat_enable="NO" 

Что это ? Включите . ( Первое раскоментировать второе удалить )

сделал, пингую через рабочую станцию с 10.10.2.1/24 на freebsd 10.10.2.121/24 ни icmp ни ssh не проходит.

Но если пинговать из freebsd 2.121 на 2.1 icmp пропускается, ssh нет

[seversever404 9]

6 минут назад, root1 сказал:

нет пока он будет стоять рядом с шлюзом

Что выступает в роли шлюза ? ( На чём шлюз крутится )

[root1 0]

до установки "Stargazer+Ubilling" все было нормально с доступом по ssh, после автоматической установки сервер жестко заблокировался 

[skybetik 134]

2 минуты назад, root1 сказав:

до установки "Stargazer+Ubilling" все было нормально с доступом по ssh, после автоматической установки сервер жестко заблокировался 

Вдумчиво смотрим ваш фаервол ,и ещё раз и ещё раз.

[root1 0]

Just now, seversever404 said:

Что выступает в роли шлюза ? ( На чём шлюз крутится )

шлюзом служит простая р.с. с установленной ОС дебиан, но думаю тут роли шлюза нет, поскольку оба хоста подключены на один свич и находяться в одной сети

шлюз просто натит запросы в мир

Just now, skybetik said:

Вдумчиво смотрим ваш фаервол ,и ещё раз и ещё раз.

можно сначала удалить фаерволл, чтобы был доступ на все, а потом добавлять строчки ?

[skybetik 134]

3 минуты назад, root1 сказав:

шлюзом служит простая р.с. с установленной ОС дебиан, но думаю тут роли шлюза нет, поскольку оба хоста подключены на один свич и находяться в одной сети

шлюз просто натит запросы в мир

можно сначала удалить фаерволл, чтобы был доступ на все, а потом добавлять строчки ?

Может для начала понять что вы делаете? Начните для начала с дэфолт фаера ub.

[seversever404 9]

16 минут назад, root1 сказал:

Но если пинговать из freebsd 2.121 на 2.1 icmp пропускается, ssh нет

Ssh нет куда ? С железа где стоит Билл 2.121 на 2.1 

[skybetik 134]

https://github.com/nightflyza/UBinstaller/blob/master/nas_preconf/configs/firewall.conf

Відредаговано 2021-06-21 06:55:45 skybetik

[root1 0]

Just now, seversever404 said:

Ssh нет куда ? С железа где стоит Билл 2.121 на 2.1 

 

да, и туда и обратно

[seversever404 9]

3 часа назад, root1 сказал:

ifconfig_em0="inet 10.10.2.121 netmask 24"

Это вы вручную писали ?

[root1 0]

13 minutes ago, seversever404 said:

Это вы вручную писали ?

нет

[seversever404 9]

39 минут назад, root1 сказал:

до установки "Stargazer+Ubilling" все было нормально с доступом по ssh, после автоматической установки сервер жестко заблокировался 

Вы устанавливали не на чистую систему ? До установки Билла там уже что то крутилось ?

[root1 0]

1 minute ago, seversever404 said:

Вы устанавливали не на чистую систему ? До установки Билла там уже что то крутилось ?

да на чистую, на не чистую не удалось

[skybetik 134]

6 минут назад, root1 сказав:

нет

Уберите ваш секс с фаервола и все будет ?)

Цитата

${FwCMD} add 45 allow icmp from table\(22\) to me
${FwCMD} add 45 allow ip from table\(22\) to me
${FwCMD} add 45 allow ip from me to table\(22\)

# ssh access.
#${FwCMD} add 46 deny ip from any to me  dst-port 22
#${FwCMD} add 46 deny ip from me to any src-port 22

# mysql access
${FwCMD} add 47 deny ip from any to me  dst-port 3306
${FwCMD} add 47 deny ip from me to any src-port 3306

# sgconf access
${FwCMD} add 48 deny ip from any to me  dst-port 5555
${FwCMD} add 48 deny ip from me to any src-port 5555

Кто есть в 22 и 45 и в 46 табличке ? Кому вы разрешили доступ ? Ставьте фаервол что выше кинул и не занимайтесь хернёй.

ipfw table all list  покажи