Перейти до

помогите начинающему зарзбраться с фаерволом


Рекомендованные сообщения

Добрый день

я с BSD знаком не так уж давно

помогите мне настроить правельно фаервол и нат под фреебсд 6.0

делаю вот так

собираю ядро с подержкой

Цитата

options IPFIREWALL

options IPDIVERT

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=10

options DUMMYNET

options TCP_DROP_SYNFIN

 

собралось

вот так настроены сетевухи

Цитата

gmz# ifconfig

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500

options=8<VLAN_MTU>

inet6 fe80::20c:46ff:feb2:d783%rl0 prefixlen 64 scopeid 0x1

inet 194.44.79.55 netmask 0xffffffe0 broadcast 194.44.79.63

ether 00:0c:46:b2:d7:83

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500

options=8<VLAN_MTU>

inet6 fe80::20c:46ff:feb2:d893%rl1 prefixlen 64 scopeid 0x2

inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255

ether 00:0c:46:b2:d8:93

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384

inet6 ::1 prefixlen 128

inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4

inet 127.0.0.1 netmask 0xff000000

 

вот такой rc.conf

Цитата

defaultrouter="194.44.79.36"

hostname="gmz.com.ua"

ifconfig_rl0="inet 194.44.79.55 netmask 255.255.255.224"

ifconfig_rl1="inet 192.168.0.254 netmask 255.255.255.0"

gateway_enable="YES"

firewall_enable="YES"

firewall_type="open"

firewall_script="/etc/ipfw.sh"

natd_enable="YES"

natd_interface="rl0"

tcp_extensions="NO"

tcp_drop_synfin="YES"

icmp_drop_redirect="YES"

icmp_log_redirect="YES"

sendmail_enable="NONE"

inetd_enable="YES"

usbd_enable="YES"

sshd_enable="YES"

 

rl0 это внешняя сетевая rl1 внутроиняя

вот так выглядит у меня скрипт ipfw.sh

Цитата

#!/bin/sh

 

ipfw='/sbin/ipfw -q'

ournet='192.168.0.254/24'

uprefix='192.168.0'

ifout='rl0'

ifuser='rl1'

iflocal='lo0'

 

${ipfw} flush

 

${ipfw} add 100 check-state

 

${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}

 

${ipfw} add 300 allow ip from any to any via ${iflocal}

${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}

${ipfw} add 320 allow icmp from any to any

${ipfw} add 330 allow udp from me to any domain keep-state

${ipfw} add 340 allow udp from any to me domain

${ipfw} add 350 allow ip from me to any

 

${ipfw} add 400 allow tcp from any to me http,https,ssh

 

${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}

 

${ipfw} add 1002 allow tcp from ${uprefix}.2 to any 25,110,53 via ${ifuser}

${ipfw} add 1002 allow tcp from any 25,53,110 to ${uprefix}.2

${ipfw} add 1002 deny all from any to ${uprefix}.2

 

${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}

${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}

${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}

${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}

 

#${ipfw} add 65535 deny ip from any to any

 

 

так и не понял что суда писать нужно ournet='192.168.0.254/24' я написал айпи внутреной ситевой

мне нужно просто занатить юзеров

тобиш чтоб я добавив 2 правила в фаерволе определённый юзер получал инет (ну или удалив 2 правила соответствено нет)

юзер с айпи адресом 192.168.0.2 может только получать и передавать почту

 

в итоге

я сервер пингую с клиенсткой машины

на самом сервере инет есть проверял

пытаюсь открыть страничку вижу балалайку (на клиенсткой машине всё прописано и шлюз и айпи и маска и днс провайдера)

помогите плиз в чём бок

или поделитесь свом рабочим конфигом

 

с Ув

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

блин вот что методом тыка узнал

вот так всё работает

тобиш могу и в инет влезть и по ssh законектиться

но тут же всё открыто и лазь кому не лень

Цитата

#!/bin/sh

ipfw='/sbin/ipfw -q'

 

${ipfw} -f flush

 

${ipfw} add divert natd all from any to any via rl0

${ipfw} add allow all from any to any

 

 

тож самое только вот так

уже не работает

#!/bin/sh

ipfw='/sbin/ipfw -q'

 

ournet='192.168.0.0/24'

 

${ipfw} -f flush

 

${ipfw} add divert natd ip from ${ournet} to any out via rl0

 

${ipfw} add allow ip from 192.168.0.200 to any via rl1

${ipfw} add allow ip from any to 192.168.0.200 via rl1

 

что ни так (понял разницу там all а здесь ip)

как всётаки запустить по второму способу

 

помогите ......

 

с Ув

 

в след. раз внимательней смотрите куда постите

Відредаговано egor2fsys
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...