kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Впринципе без разницы - что мучать нат, потом жать, что наоборот. понял, щас перезапущу правила, понаблюдаем
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 подскажите еще, плиз, траффик с ng - интерфейсов тоже надо пропускать ? В логах проскакивает: Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1228 157.56.126.190:443 in via ng27Feb 17 16:20:02 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27Feb 17 16:20:41 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1065 10.40.40.10:3128 in via ng117Feb 17 16:20:44 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117Feb 17 16:20:49 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 (відредаговано) А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам. ${fwcmd} add 10 deny ip from any to any not verrevpath in recv ng\* ${fwcmd} add 11 deny ip from any to any not verrevpath in recv bge1 Відредаговано 17 лютого, 2015 kha0s
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 (відредаговано) А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам. ${fwcmd} add 10 deny ip from any to any not verrevpath in recv ng\* ${fwcmd} add 11 deny ip from any to any not verrevpath in recv bge1 вот текущие правила: #!/bin/sh # fwcmd='/sbin/ipfw -q' # ${fwcmd} -f flush ${fwcmd} -f queue flush ${fwcmd} -f pipe flush # ${fwcmd} add 005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any # Loopback ${fwcmd} add 10 allow all from any to any via lo0 ${fwcmd} add 15 deny all from any to 127.0.0.0/8 ${fwcmd} add 20 deny ip from 127.0.0.0/8 to any # ${fwcmd} add 30 check-state # Запрет X-сканирования: ${fwcmd} add 40 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет N-сканирования: ${fwcmd} add 41 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет FIN-сканирования: ${fwcmd} add 42 reject log tcp from any to any not established tcpflags fin # Защита от спуфинга (подмена адреса отправителя) #${fwcmd} add 43 deny log ip from any to any not verrevpath in via bge0 # block some DOS attacks. ${fwcmd} add 44 deny tcp from any to any tcpoptions !mss tcpflags syn,!ack # Drop icmp ${fwcmd} add 45 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 #External interface Netbios BLOCK ${fwcmd} add 50 deny udp from any 135-139 to any via bge0 # netbios низя ${fwcmd} add 51 deny tcp from any 135-139,445 to any via bge0 # netbios низя ${fwcmd} add 52 deny udp from any to any 135-139 via bge0 # netbios низя ${fwcmd} add 53 deny tcp from any to any 135-139,445 via bge0 # netbios #Internal interface Netbios BLOCK #${fwcmd} add 54 deny udp from any 135-139 to any via bge1 # netbios низя #${fwcmd} add 55 deny tcp from any 135-139,445 to any via bge1 # netbios низя #${fwcmd} add 56 deny udp from any to any 135-139 via bge1 # netbios низя #${fwcmd} add 57 deny tcp from any to any 135-139,445 via bge1 # netbios #${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ### ${fwcmd} add 55 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 56 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 57 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 58 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki ${fwcmd} add 59 deny ip from any to any in recv bge1 // ostalnoe rezhem #Mail Deny ${fwcmd} add 65 deny tcp from 10.128.10.0/23 to any 25 ${fwcmd} add 66 deny tcp from 172.16.20.0/23 to any 25 # рубим автоконфигуреную частную сеть ###${fwcmd} add 67 deny ip from 169.254.0.0/16 to any # разрешить весь выходящий трафик ${fwcmd} add 70 allow tcp from me to any keep-state ${fwcmd} add 71 allow udp from me to any keep-state #Traceroute fo system #${fwcmd} add 72 allow icmp from me to any out via bge0 icmptype 0,3,8,11,12 keep-state ${fwcmd} add 72 allow icmp from me to any out icmptype 0,3,8 keep-state # Allow in me from any ${fwcmd} add 80 allow tcp from any to me 80,9443 keep-state ${fwcmd} add 82 allow tcp from any to me 3301,3503 keep-state ${fwcmd} add 95 allow udp from any to me 53 keep-state ${fwcmd} add 100 allow icmp from any to me in via bge0 icmptype 0,3,8 keep-state ${fwcmd} add 101 allow icmp from any to me in via re0 icmptype 0,3,8 keep-state ${fwcmd} add 102 allow icmp from any to me in via bge1 icmptype 0,3,8 keep-state ${fwcmd} add 103 deny log icmp from any to me in via bge0 icmptype 5,9,13,14,16,17 # NAT ${fwcmd} nat 1 config if bge0 log same_ports deny_in unreg_only #${fwcmd} add 65055 nat 1 ip from 172.16.20.0/24 to any ${fwcmd} add 65060 nat 1 ip from any to any via bge0 #${fwcmd} add 65060 nat 1 ip from 172.16.20.0/24 to any ${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any ${fwcmd} add 65062 allow ip from any to 172.16.20.0/23 # ${fwcmd} add 65530 allow ip from me to any # разрешаем tcp-пакеты по уже установленным соединениям ${fwcmd} add 65532 allow tcp from any to any established # Broadcasts are denied and not logged. ${fwcmd} add 65533 deny all from any to 255.255.255.255 # Deny All ${fwcmd} add 65534 deny log all from any to any ПЫ.СЫ. Звонил танкист - нет связи с сервером Відредаговано 17 лютого, 2015 kvirtu
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 (відредаговано) 43 правило заменить на: ${fwcmd} add 12 deny ip from any to any not antispoof in 5-е правило, кстати, зачем? Відредаговано 17 лютого, 2015 kha0s
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 43 правило убрать. Бессмысленное. Дефолт всегда подтвердит его. да, убрал сегодня утром,
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 блин, по ходу правило 50 надо убрать или модифицировать
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Да, 50 надо изменить, тут аналогия с lo0 не прокатит. 65055 вроде как лишнее - 65060 должно в обе стороны пакеты в нат заворачивать по идее.
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Да, 50 надо изменить, тут аналогия с lo0 не прокатит. 65055 вроде как лишнее - 65060 должно в обе стороны пакеты в нат заворачивать по идее. подскажите плиз по правилу "50"
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано.
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано. не я проверял прямо с сервака, танки пингуються, а как через НАТ проверить не могу
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?) я понял, ) ну сейчас в /var/log/secuirty по правилу 65534 по bge1 чисто , по ng* тоже пока.
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 (відредаговано) щас опять скакануло ( , перезапустил шейпер попустило Відредаговано 17 лютого, 2015 kvirtu
l1ght Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 пройдіться профайлером, може показати підводне каміння.
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 пройдіться профайлером, може показати підводне каміння. Я готов, а что именно ?
l1ght Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 (відредаговано) pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути Відредаговано 17 лютого, 2015 L1ght
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory
Ромка Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик!
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! пришло железо, завтра утром буду менять - отпишусь
Ромка Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 (відредаговано) Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! пришло железо, завтра утром буду менять - отпишусь Ждём... Відредаговано 17 лютого, 2015 Ромка
l1ght Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити
l1ght Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! І фря і лінух чудово працюють, з чим саме вам працювати - питання релігії
Al G Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Что говорят: ipfw list ipfw show sysctl net.inet.ip.fw.one_pass ?
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити та я одним глазом на форум, вторым на консоли сервака. Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! пришло железо, завтра утром буду менять - отпишусь Ждём... cats_05.gif а чего сразу драма ?
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас