Перейти до

Проблеми з IPFW.

fedus

Автор: fedus,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

fedus

fedus 0

Опубликовано:
Опубликовано:

Привіт всім. Ось скрипт мого файервола:

 

#!/bin/sh

 

ipfw -f flush

 

##############

ipfw add 00010 deny icmp from any to any icmptype 5,9,13,14,15,16,17

ipfw add 00011 deny udp from any to me 135,137,138,139,445

ipfw add 00011 deny tcp from any to me 135,137,138,139,445

##############

ipfw add 00097 allow ip from any to any via lo0

ipfw add 00098 deny ip from any to 127.0.0.0/8

ipfw add 00099 deny ip from 127.0.0.0/8 to any

 

### Forwarding 80 port to proxy ###

ipfw add 00100 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any 80 via rl1

 

### STARGAZER ####

ipfw add 00111 allow udp from any to me 8888

ipfw add 00121 allow udp from me 8888 to any

 

ipfw add 00211 allow tcp from any to me 5555

ipfw add 00221 allow tcp from me 5555 to any

 

ipfw add 00231 allow udp from any to me 5555

ipfw add 00241 allow udp from me 5555 to any

 

### SSH ###

ipfw add 00311 allow ip from any to me 22

ipfw add 00321 allow ip from me 22 to any

 

### FTP ###

ipfw add 00411 allow ip from 10.0.0.20 to me 20,21

ipfw add 00521 allow ip from me 20,21 to 10.0.0.20

 

### NAT ###

ipfw add 10000 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18

ipfw add 10002 divert 8668 ip from any to 193.34.172.18 in

 

ipfw add 65534 allow ip from any to any

 

Працює правильно. Но як тільки в останьому рядку поміняти на конкретний ір адрес - перестає робити!

?????

дякую

Ссылка на сообщение
Поделиться на других сайтах
fedus

fedus 0

Опубліковано:
  • Автор
Опубліковано:

якщо ipfw add 65534 allow ip from any to any - то:

ipfw -a list

00010 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17

00011 17 1326 deny udp from any to me dst-port 135,137,138,139,445

00011 36 1712 deny tcp from any to me dst-port 135,137,138,139,445

00097 41146 10303182 allow ip from any to any via lo0

00098 0 0 deny ip from any to 127.0.0.0/8

00099 0 0 deny ip from 127.0.0.0/8 to any

00100 160720 35601733 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any dst-port 80 via rl1

00111 0 0 allow udp from any to me dst-port 8888

00121 0 0 allow udp from me 8888 to any

00211 0 0 allow tcp from any to me dst-port 5555

00221 0 0 allow tcp from me 5555 to any

00231 0 0 allow udp from any to me dst-port 5555

00241 0 0 allow udp from me 5555 to any

00311 16174 1393546 allow ip from any to me dst-port 22

00321 14219 5306377 allow ip from me 22 to any

00411 0 0 allow ip from 10.0.0.20 to me dst-port 20,21

00521 0 0 allow ip from me 20,21 to 10.0.0.20

10000 520 286634 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18

10002 267732 328541626 divert 8668 ip from any to 193.34.172.18 in

65534 905703 737682248 allow ip from any to any

65535 4591 335005 deny ip from any to any

 

а якщо

ipfw add 65534 allow ip from 10.0.0.3 to any

ipfw add 65534 allow ip from any to 10.0.0.3

 

то:

ipfw -a list

00010 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17

00011 0 0 deny udp from any to me dst-port 135,137,138,139,445

00011 0 0 deny tcp from any to me dst-port 135,137,138,139,445

00097 0 0 allow ip from any to any via lo0

00098 0 0 deny ip from any to 127.0.0.0/8

00099 0 0 deny ip from 127.0.0.0/8 to any

00100 0 0 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any dst-port 80 via rl1

00111 0 0 allow udp from any to me dst-port 8888

00121 0 0 allow udp from me 8888 to any

00211 0 0 allow tcp from any to me dst-port 5555

00221 0 0 allow tcp from me 5555 to any

00231 0 0 allow udp from any to me dst-port 5555

00241 0 0 allow udp from me 5555 to any

00311 56 4112 allow ip from any to me dst-port 22

00321 33 3572 allow ip from me 22 to any

00411 0 0 allow ip from 10.0.0.20 to me dst-port 20,21

00521 0 0 allow ip from me 20,21 to 10.0.0.20

10000 0 0 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18

10002 0 0 divert 8668 ip from any to 193.34.172.18 in

10300 0 0 allow ip from 10.0.10.3 to any

10400 8 680 allow ip from any to 10.0.10.3

65535 4614 337495 deny ip from any to any

Ссылка на сообщение
Поделиться на других сайтах
muff

muff 115

Опубліковано:
Опубліковано:

Смотри правило 65535. По умолчанию файрвол у тебя закрыт полностью. Или собирай ядро с опцией "options IPFIREWALL_DEFAULT_TO_ACCEPT" (делает файрвол открытм, то есть по умолчанию разрешено все, то что не запрещено), или ставь правило под номером 65534, которое будет позволять трафику бегать, или полностью перебирать файрвол.

Ссылка на сообщение
Поделиться на других сайтах
Lambert

Lambert 5

Опубліковано:
Опубліковано:
Так наскільки я розумію правило 10300 і 10400 дозволяє обмін трафіком з 10.0.10.3, але нет перестає робити чогось.

А в сеть пытаешься выйти с той же машины? Что если правило с локалхостом 127.0.0.1 прописать?

Ссылка на сообщение
Поделиться на других сайтах
muff

muff 115

Опубліковано:
Опубліковано:
pfw add 00098 deny ip from any to 127.0.0.0/8

ipfw add 00099 deny ip from 127.0.0.0/8 to any

а для чого це правило?

 

Перед цими правилами стоїть правило, яке дозволяє обмін для 127.0.0.0/8 тільки на лупбеку. А ці правила забороняють на інших мережевих картах трафік для 127.0.0.0/8. Все вірно.

Тільки у файрволі зазвичай є перемінна, я використовую її - setup_loopback

 

setup_loopback () {

############

# Only in rare cases do you want to change these rules

#

${fwcmd} add 100 pass all from any to any via lo0

${fwcmd} add 200 deny all from any to 127.0.0.0/8

${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

}

Ссылка на сообщение
Поделиться на других сайтах
muff

muff 115

Опубліковано:
Опубліковано:
Якщо не помиляюсь то останній рядочок не можна міняти або не бажано

 

Так, звичайно, бажано все заборонити по максимуму :rolleyes:

Але тоді дуже точно потрібно знати, які саме служби і тип трафіку буде пробігати. Якщо fedus захоче - нехай у неділю пише в аську (277-87-22-17), спробую знайти граблю. Просто зараз трошки не до того, своїх траблів вистачає, щоб повністю вникати ще у якусь :)

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
fedus

fedus 0

Опубліковано:
  • Автор
Опубліковано:

Привіт! Так і не розібрався з фаєром. Ніяк не виходить. Можливо є якась програма яка показує як, куди, звідки, через який інтерфейс бігають пакети???

Ссылка на сообщение
Поделиться на других сайтах
Колян

Колян 2

Опубліковано:
Опубліковано:

номера правил... правило дени должно быть последним, правила аллоу должны быть первыми. начиная с единицы.

ipfw add 1 allow all from 10.0.0.3 to any

ipfw add 1 allow all from any to 10.0.0.3

ipfw add 65534 deny all from any to any

Ссылка на сообщение
Поделиться на других сайтах
muff

muff 115

Опубліковано:
Опубліковано:
номера правил... правило дени должно быть последним, правила аллоу должны быть первыми. начиная с единицы.

ipfw add 1 allow all from 10.0.0.3 to any

ipfw add 1 allow all from any to 10.0.0.3

ipfw add 65534 deny all from any to any

 

 

Хей!!!

Мне вот интерестно, как далеко уйдет такой пакет. Не дальше какой-нибуть локалки!

NAT еще никто не отменял. Пусть сначала натит трафик, а потом уже ставит разрешающие правила.

Ссылка на сообщение
Поделиться на других сайтах
muff

muff 115

Опубліковано:
Опубліковано:
да какая разница, натит он или нет. пакет фаер пропустит от назначенного ипа в куда хочешь и обратно.

 

 

Поверь мне, разница есть.

Если взять структуру пакета на сетевом уровне модели OSI, то у нас там есть два довольно интерестных поля. Это Source IP address и Destination IP adress. Поверь мне, очень многие провайдеры не пропускают "серые" сети на своих маршрутизаторах. Соответственно пакет, у которого Source IP address будет 10.0.0.3 дропнется уже через два-три хопа.

То есть, нужно однозначно натить такие айпишки в реальную ip-адресацию, или натить в серую айпишку, выданную провом (тогда уже пров натит определенную серую сеть, выдданую в использование клиенту.

 

http://uk.wikipedia.org/wiki/%D0%9C%D1%96%...%BA%D0%BE%D0%BB

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...