The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"И все же ГУРУ IPFW, откликнитесь"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb email(ok) on 26-Мрт-09, 07:12 
У меня большая просьба:

напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы делал NAT для внутр сети и пускал только на: www, ftp (активный и пассивный). все.

Заранее очень благодарен!!!


Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от angra (ok) on 26-Мрт-09, 07:47 
Огласите сумму :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 26-Мрт-09, 07:51 
>Огласите сумму :)

в принципе пример из handbook рабочий для 80 порта.
а вот для ftp (активного и пассивного) не идет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Chinese (??) on 26-Мрт-09, 09:13 
>У меня большая просьба:
>
>напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы
>делал NAT для внутр сети и пускал только на: www, ftp
>(активный и пассивный). все.
>
>Заранее очень благодарен!!!

попробуй лучше pf. пример конфига там же - в хэндбуке.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от tiv on 26-Мрт-09, 09:21 
что за ftp сервер?, можно для него указать диапазон портов для пассивных соединений?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 26-Мрт-09, 10:03 
на счет PF - это запасной бронепоезд, оставлю на закуску ))

мне нужно чтобы юзеры мои ходили через НАТ на 80 и любой фтп (актив пассив). собсно все.
хотелось на ipfw.

еще раз: юзерам доступ только к 80 и любому фтп. все остальное - закрыто.

просто инетерсно: в хендбуке режут established, frag. другие наоборот их открывывают.. где правда? ))

Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (??) on 26-Мрт-09, 19:50 
------------------------ FROM HandBook ------------
00001 allow ip from any to any via lo0
00002 allow ip from any to any via age0
00014 divert 8668 ip from any to any in via ng0
00015 check-state
00020 skipto 800 tcp from any to any dst-port 20,21,22 out via ng0 setup keep-state
00021 skipto 800 tcp from any 20 to any in via ng0 setup keep-state
00030 skipto 800 udp from any to any dst-port 53 out via ng0 keep-state
00040 skipto 800 tcp from any to any dst-port 80,443 out via ng0 setup keep-state
00080 skipto 800 icmp from any to any out via ng0 keep-state
00330 deny ip from any to any frag in via ng0
00332 deny tcp from any to any established in via ng0
00400 deny log logamount 100 ip from any to any in via ng0
00450 deny log logamount 100 ip from any to any out via ng0
00800 divert 8668 ip from any to any out via ng0
00801 allow ip from any to any
00999 deny log logamount 100 ip from any to any
65535 allow ip from any to any
--------------------- end -------------------------------------
правило 21 добавил я. теперь юзеры могут ходить на активный Фтп. Но как не нравится мне это правило.

НУ ПОЖАЛУЙСТА!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 27-Мрт-09, 12:34 
все, нашел )))

natd punch_fw

спасибо всем! ))

просьба, оцените конфиг
-------------------------------------------
00001 allow ip from any to any via lo0
00002 allow ip from any to any via age0         // lan iface

00015 divert 8668 ip from any to any via ng0    
00016 allow tcp from any to any established
00020 allow tcp from me to any via ng0 setup

00050 allow udp from me to any dst-port 53         // dns
00051 allow udp from any 53 to me                  // dns
00052 allow icmp from any to any icmptypes 0,8     // icmp

00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup     // users

00999 deny ip from any to any
-------------------------------------------

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 08-Апр-09, 10:12 
это не то что я хотел.
данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу.

как оставить только ftp,smtp,pop3?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от tiv (ok) on 08-Апр-09, 10:52 
>это не то что я хотел.
>данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу.
>
>
>как оставить только ftp,smtp,pop3?

после того как пакеты попали в это правило
00015 divert 8668 ip from any to any via ng0    
они уже не попадут сюда, так как будут иметь в качестве src адрес шлюза
00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup
вот тут и думайте как реализовать, можно использовать skipto, а можно писать правила только для локального интерфейса, явно описать все что можно, а все что нельзя будут правила для интернет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 08-Апр-09, 12:05 
>[оверквотинг удален]
>>как оставить только ftp,smtp,pop3?
>
>после того как пакеты попали в это правило
>00015 divert 8668 ip from any to any via ng0
>они уже не попадут сюда, так как будут иметь в качестве src
>адрес шлюза
>00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup
>вот тут и думайте как реализовать, можно использовать skipto, а можно писать
>правила только для локального интерфейса, явно описать все что можно, а
>все что нельзя будут правила для интернет

ладно, седня опять буду штурмовать!!!!!

спасибо, tiv!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "И все же ГУРУ IPFW, откликнитесь"  
Сообщение от Camb (ok) on 13-Апр-09, 14:27 
Еще раз спасибо, раобрался.

для внутренней сетки  открыт порт 21, далее natd punch_fw и счастье для активного фтп-клиента.

а как быть с пассивным режимом? punch_fw не дырявит файерволл при пассивном клиенте!!!
А надо!! ))

Как быть??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру