fedus Опубликовано: 25 липня, 2008 Опубликовано: 25 липня, 2008 Привіт всім. Ось скрипт мого файервола: #!/bin/sh ipfw -f flush ############## ipfw add 00010 deny icmp from any to any icmptype 5,9,13,14,15,16,17 ipfw add 00011 deny udp from any to me 135,137,138,139,445 ipfw add 00011 deny tcp from any to me 135,137,138,139,445 ############## ipfw add 00097 allow ip from any to any via lo0 ipfw add 00098 deny ip from any to 127.0.0.0/8 ipfw add 00099 deny ip from 127.0.0.0/8 to any ### Forwarding 80 port to proxy ### ipfw add 00100 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any 80 via rl1 ### STARGAZER #### ipfw add 00111 allow udp from any to me 8888 ipfw add 00121 allow udp from me 8888 to any ipfw add 00211 allow tcp from any to me 5555 ipfw add 00221 allow tcp from me 5555 to any ipfw add 00231 allow udp from any to me 5555 ipfw add 00241 allow udp from me 5555 to any ### SSH ### ipfw add 00311 allow ip from any to me 22 ipfw add 00321 allow ip from me 22 to any ### FTP ### ipfw add 00411 allow ip from 10.0.0.20 to me 20,21 ipfw add 00521 allow ip from me 20,21 to 10.0.0.20 ### NAT ### ipfw add 10000 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18 ipfw add 10002 divert 8668 ip from any to 193.34.172.18 in ipfw add 65534 allow ip from any to any Працює правильно. Но як тільки в останьому рядку поміняти на конкретний ір адрес - перестає робити! ????? дякую
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Що тут немає спеціалістів по ipfw????
Neelix Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 Працює правильно. Но як тільки в останьому рядку поміняти на конкретний ір адрес - перестає робити! телепаты?
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Якщо ipfw add 65534 allow ip from any to any поміняти на ipfw add 65534 allow ip from 10.0.0.3 to any ipfw add 65534 allow ip from any to 10.0.0.3 То на 10.0.0.3 перестає робити інет!!!
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Може хоть хтось знає сайт де можуть мені з цим допомогти????
muff Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 #ipfw show Вивід правил, кинь сюди, плз. Тоді вкажу точно, що не так.
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 якщо ipfw add 65534 allow ip from any to any - то: ipfw -a list00010 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17 00011 17 1326 deny udp from any to me dst-port 135,137,138,139,445 00011 36 1712 deny tcp from any to me dst-port 135,137,138,139,445 00097 41146 10303182 allow ip from any to any via lo0 00098 0 0 deny ip from any to 127.0.0.0/8 00099 0 0 deny ip from 127.0.0.0/8 to any 00100 160720 35601733 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any dst-port 80 via rl1 00111 0 0 allow udp from any to me dst-port 8888 00121 0 0 allow udp from me 8888 to any 00211 0 0 allow tcp from any to me dst-port 5555 00221 0 0 allow tcp from me 5555 to any 00231 0 0 allow udp from any to me dst-port 5555 00241 0 0 allow udp from me 5555 to any 00311 16174 1393546 allow ip from any to me dst-port 22 00321 14219 5306377 allow ip from me 22 to any 00411 0 0 allow ip from 10.0.0.20 to me dst-port 20,21 00521 0 0 allow ip from me 20,21 to 10.0.0.20 10000 520 286634 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18 10002 267732 328541626 divert 8668 ip from any to 193.34.172.18 in 65534 905703 737682248 allow ip from any to any 65535 4591 335005 deny ip from any to any а якщо ipfw add 65534 allow ip from 10.0.0.3 to any ipfw add 65534 allow ip from any to 10.0.0.3 то: ipfw -a list00010 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17 00011 0 0 deny udp from any to me dst-port 135,137,138,139,445 00011 0 0 deny tcp from any to me dst-port 135,137,138,139,445 00097 0 0 allow ip from any to any via lo0 00098 0 0 deny ip from any to 127.0.0.0/8 00099 0 0 deny ip from 127.0.0.0/8 to any 00100 0 0 fwd 10.0.0.1,3128 tcp from 10.0.0.0/16 to any dst-port 80 via rl1 00111 0 0 allow udp from any to me dst-port 8888 00121 0 0 allow udp from me 8888 to any 00211 0 0 allow tcp from any to me dst-port 5555 00221 0 0 allow tcp from me 5555 to any 00231 0 0 allow udp from any to me dst-port 5555 00241 0 0 allow udp from me 5555 to any 00311 56 4112 allow ip from any to me dst-port 22 00321 33 3572 allow ip from me 22 to any 00411 0 0 allow ip from 10.0.0.20 to me dst-port 20,21 00521 0 0 allow ip from me 20,21 to 10.0.0.20 10000 0 0 divert 8668 ip from 10.0.0.0/16 to any via 193.34.172.18 10002 0 0 divert 8668 ip from any to 193.34.172.18 in 10300 0 0 allow ip from 10.0.10.3 to any 10400 8 680 allow ip from any to 10.0.10.3 65535 4614 337495 deny ip from any to any
muff Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 Смотри правило 65535. По умолчанию файрвол у тебя закрыт полностью. Или собирай ядро с опцией "options IPFIREWALL_DEFAULT_TO_ACCEPT" (делает файрвол открытм, то есть по умолчанию разрешено все, то что не запрещено), или ставь правило под номером 65534, которое будет позволять трафику бегать, или полностью перебирать файрвол.
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Так наскільки я розумію правило 10300 і 10400 дозволяє обмін трафіком з 10.0.10.3, але нет перестає робити чогось.
Lambert Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 Так наскільки я розумію правило 10300 і 10400 дозволяє обмін трафіком з 10.0.10.3, але нет перестає робити чогось. А в сеть пытаешься выйти с той же машины? Что если правило с локалхостом 127.0.0.1 прописать?
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Можна попробувати. Це сервак з двома сетевими картами, одна в локалку, друга - в нет.
Vanya Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 pfw add 00098 deny ip from any to 127.0.0.0/8 ipfw add 00099 deny ip from 127.0.0.0/8 to any а для чого це правило?
Vanya Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 Якщо не помиляюсь то останній рядочок не можна міняти або не бажано
muff Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 pfw add 00098 deny ip from any to 127.0.0.0/8ipfw add 00099 deny ip from 127.0.0.0/8 to any а для чого це правило? Перед цими правилами стоїть правило, яке дозволяє обмін для 127.0.0.0/8 тільки на лупбеку. А ці правила забороняють на інших мережевих картах трафік для 127.0.0.0/8. Все вірно. Тільки у файрволі зазвичай є перемінна, я використовую її - setup_loopback setup_loopback () { ############ # Only in rare cases do you want to change these rules # ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any }
muff Опубліковано: 25 липня, 2008 Опубліковано: 25 липня, 2008 Якщо не помиляюсь то останній рядочок не можна міняти або не бажано Так, звичайно, бажано все заборонити по максимуму Але тоді дуже точно потрібно знати, які саме служби і тип трафіку буде пробігати. Якщо fedus захоче - нехай у неділю пише в аську (277-87-22-17), спробую знайти граблю. Просто зараз трошки не до того, своїх траблів вистачає, щоб повністю вникати ще у якусь
fedus Опубліковано: 25 липня, 2008 Автор Опубліковано: 25 липня, 2008 Дякую! Обовязково напишу! Можливо і раніше
fedus Опубліковано: 4 серпня, 2008 Автор Опубліковано: 4 серпня, 2008 Привіт! Так і не розібрався з фаєром. Ніяк не виходить. Можливо є якась програма яка показує як, куди, звідки, через який інтерфейс бігають пакети???
muff Опубліковано: 4 серпня, 2008 Опубліковано: 4 серпня, 2008 http://www.linuxshare.ru/docs/net/tcpdump.html Здесь инфы будет побольше
Колян Опубліковано: 4 серпня, 2008 Опубліковано: 4 серпня, 2008 номера правил... правило дени должно быть последним, правила аллоу должны быть первыми. начиная с единицы. ipfw add 1 allow all from 10.0.0.3 to any ipfw add 1 allow all from any to 10.0.0.3 ipfw add 65534 deny all from any to any
muff Опубліковано: 4 серпня, 2008 Опубліковано: 4 серпня, 2008 номера правил... правило дени должно быть последним, правила аллоу должны быть первыми. начиная с единицы. ipfw add 1 allow all from 10.0.0.3 to any ipfw add 1 allow all from any to 10.0.0.3 ipfw add 65534 deny all from any to any Хей!!! Мне вот интерестно, как далеко уйдет такой пакет. Не дальше какой-нибуть локалки! NAT еще никто не отменял. Пусть сначала натит трафик, а потом уже ставит разрешающие правила.
Колян Опубліковано: 5 серпня, 2008 Опубліковано: 5 серпня, 2008 да какая разница, натит он или нет. пакет фаер пропустит от назначенного ипа в куда хочешь и обратно.
muff Опубліковано: 5 серпня, 2008 Опубліковано: 5 серпня, 2008 да какая разница, натит он или нет. пакет фаер пропустит от назначенного ипа в куда хочешь и обратно. Поверь мне, разница есть. Если взять структуру пакета на сетевом уровне модели OSI, то у нас там есть два довольно интерестных поля. Это Source IP address и Destination IP adress. Поверь мне, очень многие провайдеры не пропускают "серые" сети на своих маршрутизаторах. Соответственно пакет, у которого Source IP address будет 10.0.0.3 дропнется уже через два-три хопа. То есть, нужно однозначно натить такие айпишки в реальную ip-адресацию, или натить в серую айпишку, выданную провом (тогда уже пров натит определенную серую сеть, выдданую в использование клиенту. http://uk.wikipedia.org/wiki/%D0%9C%D1%96%...%BA%D0%BE%D0%BB
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас