forum.opennet.ru - "ipfw freebsd 7.2" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw freebsd 7.2"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw freebsd 7.2"		+/–
Сообщение от alexnv (ok) on 14-Июл-09, 09:58
Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то ничего не работает. делал по образцу из самой фри. stge0 - внешний интерфейс stge1 - внутренний интерфейс, 192.168.128.0/20 правила: 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 05000 allow ip from any to any # как только убираю сразу же перестает работать. 05100 deny ip from 192.168.128.0/20 to any in via stge0 05200 deny ip from any to 10.0.0.0/8 via stge0 05300 deny ip from any to 172.16.0.0/12 via stge0 05400 deny ip from any to 192.168.0.0/16 via stge0 05500 deny ip from any to 0.0.0.0/8 via stge0 05600 deny ip from any to 169.254.0.0/16 via stge0 05700 deny ip from any to 192.0.2.0/24 via stge0 05800 deny ip from any to 224.0.0.0/4 via stge0 05900 deny ip from any to 240.0.0.0/4 via stge0 06000 allow ip from any to any frag 06100 allow tcp from any to me dst-port 22 setup via stge0 06200 allow tcp from any to me dst-port 80 setup via stge0 06300 allow tcp from any to me dst-port 443 setup via stge0 06400 allow tcp from any to me dst-port 3389 setup via stge0 06500 allow tcp from any to me dst-port 22 setup via stge1 06600 allow tcp from any to me dst-port 25 setup via stge1 06700 allow tcp from any to me dst-port 110 setup via stge1 06800 allow tcp from any to me dst-port 80 setup via stge1 06900 allow tcp from any to me dst-port 443 setup via stge1 07000 allow tcp from any to me dst-port 3128 via stge1 07100 allow tcp from any to me dst-port 3389 setup via stge1 07200 allow tcp from any to me dst-port 10000 setup via stge1 07300 allow tcp from any to me dst-port 22 setup via stge1 07400 allow tcp from any to me dst-port 25 setup via stge1 07500 allow tcp from any to me dst-port 110 setup via stge1 07600 allow tcp from any to me dst-port 80 setup via stge1 07700 allow tcp from any to me dst-port 443 setup via stge1 07800 allow tcp from any to me dst-port 3128 via stge1 07900 allow tcp from any to me dst-port 3389 setup via stge1 08000 allow tcp from any to me dst-port 10000 setup via stge1 08100 deny log tcp from any to any in via stge0 setup 08200 allow tcp from any to any setup
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw freebsd 7.2, PavelR, 10:06 , 14-Июл-09, (1)

ipfw freebsd 7.2, alexnv, 10:53 , 14-Июл-09, (2)

ipfw freebsd 7.2, qwertykma, 14:02 , 14-Июл-09, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw freebsd 7.2" +/–

Сообщение от PavelR (??) on 14-Июл-09, 10:06

>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то
>ничего не работает. делал по образцу из самой фри.
1. Что работает до того, как Вы начинаете "настраивать" файрволл ?
2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса, сейчас они перемешаны.
3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на входе и на выходе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw freebsd 7.2" +/–

Сообщение от alexnv (ok) on 14-Июл-09, 10:53

>>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то
>>ничего не работает. делал по образцу из самой фри.
>
>1. Что работает до того, как Вы начинаете "настраивать" файрволл ?
>
>2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса,
>сейчас они перемешаны.
>
>3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на
>входе и на выходе.
1. По умолчанию фаерволл работает в открытом режиме.
2. Вроде ве по группам раскидано.
3. Т.е надо прописать правила на вход и выход?
вот скрипт пришлось переделать т.к случайно его убил
        # set these to your outside interface network
        oif="stge0"
        onet="any"
        # set these to your inside interface network
        iif="stge1"
        inet="192.168.128.0/20"
        ${fwcmd} add 5000 allow ip from any to any
        # Stop spoofing
        ${fwcmd} add deny all from ${inet} to any in via ${oif}
        ${fwcmd} add deny all from ${onet} to any in via ${iif}
        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}
        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
        # on the outside interface
        ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
        # Allow TCP through if setup succeeded
        ${fwcmd} add pass tcp from any to any established
        # Allow IP fragments to pass through
        ${fwcmd} add pass all from any to any frag
        # Allow ports on oif
        ${fwcmd} add pass tcp from any to me 22 setup via ${oif}
        ${fwcmd} add pass tcp from me 22 to any
        ${fwcmd} add pass tcp from any to me 80 setup via ${oif}
        ${fwcmd} add pass tcp from me 80 to any
        ${fwcmd} add pass tcp from any to me 443 setup via ${oif}
        ${fwcmd} add pass tcp from me 443 to any
#       ${fwcmd} add pass tcp from any to me 3128 setup via ${oif}
#       ${fwcmd} add pass tcp from me 3128 to any
        ${fwcmd} add pass tcp from any to me 3389 setup via ${oif}
        ${fwcmd} add pass tcp from me 3389 to any
#       ${fwcmd} add pass tcp from any to me 10000 setup via ${oif}
#       ${fwcmd} add pass tcp from me 10000 to any
        # Allow ports on iif
        ${fwcmd} add pass tcp from any to me 22 setup via ${iif}
        ${fwcmd} add pass tcp from me 22 to any
        ${fwcmd} add pass tcp from any to me 80 setup via ${iif}
        ${fwcmd} add pass tcp from me 80 to any
        ${fwcmd} add pass tcp from any to me 443 setup via ${iif}
        ${fwcmd} add pass tcp from me 443 to any
        ${fwcmd} add pass tcp from any to me 3128 setup via ${iif}
        ${fwcmd} add pass tcp from me 3128 to any
        ${fwcmd} add pass tcp from any to me 3389 setup via ${iif}
        ${fwcmd} add pass tcp from me 3389 to any
        ${fwcmd} add pass tcp from any to me 10000 setup via ${iif}
        ${fwcmd} add pass tcp from me 10000 to any
        #port mapping...
        case ${firewall_nat_enable} in
        [Yy][Ee][Ss])
                ${fwcmd} nat 123 config ip ${whiteip} log same_ports redirect_port tcp 192.168.129.109:3389 3389
                ${fwcmd} add 100 nat 123 tcp from 192.168.129.109 3389 to any
                ${fwcmd} add 100 nat 123 tcp from any to 192.168.129.109 3389
                ;;
        esac
        # Reject&Log all setup of incoming connections from the outside
        ${fwcmd} add deny log tcp from any to any in via ${oif} setup

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw freebsd 7.2" +/–

Сообщение от qwertykma on 14-Июл-09, 14:02

Хорошо бы посмотреть на:
#ipfw list

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw freebsd 7.2"		+/–
Сообщение от PavelR (??) on 14-Июл-09, 10:06
>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то >ничего не работает. делал по образцу из самой фри. 1. Что работает до того, как Вы начинаете "настраивать" файрволл ? 2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса, сейчас они перемешаны. 3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на входе и на выходе.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ipfw freebsd 7.2"		+/–
	Сообщение от alexnv (ok) on 14-Июл-09, 10:53
	>>Добрый день! Помогите разобраться с ipfw, настраиваю фаервол, как включаю правила, то >>ничего не работает. делал по образцу из самой фри. > >1. Что работает до того, как Вы начинаете "настраивать" файрволл ? > >2. Разделите правила на группы, отдельную для первого, отдельную для второго интерфейса, >сейчас они перемешаны. > >3. Если машина является маршрутизатором, то пакеты в файрволл попадают дважды, на >входе и на выходе. 1. По умолчанию фаерволл работает в открытом режиме. 2. Вроде ве по группам раскидано. 3. Т.е надо прописать правила на вход и выход? вот скрипт пришлось переделать т.к случайно его убил # set these to your outside interface network oif="stge0" onet="any" # set these to your inside interface network iif="stge1" inet="192.168.128.0/20" ${fwcmd} add 5000 allow ip from any to any # Stop spoofing ${fwcmd} add deny all from ${inet} to any in via ${oif} ${fwcmd} add deny all from ${onet} to any in via ${iif} # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif} ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif} ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif} # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif} ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif} ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif} ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif} ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif} # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif} ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif} # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif} ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif} ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif} ${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif} # Allow TCP through if setup succeeded ${fwcmd} add pass tcp from any to any established # Allow IP fragments to pass through ${fwcmd} add pass all from any to any frag # Allow ports on oif ${fwcmd} add pass tcp from any to me 22 setup via ${oif} ${fwcmd} add pass tcp from me 22 to any ${fwcmd} add pass tcp from any to me 80 setup via ${oif} ${fwcmd} add pass tcp from me 80 to any ${fwcmd} add pass tcp from any to me 443 setup via ${oif} ${fwcmd} add pass tcp from me 443 to any # ${fwcmd} add pass tcp from any to me 3128 setup via ${oif} # ${fwcmd} add pass tcp from me 3128 to any ${fwcmd} add pass tcp from any to me 3389 setup via ${oif} ${fwcmd} add pass tcp from me 3389 to any # ${fwcmd} add pass tcp from any to me 10000 setup via ${oif} # ${fwcmd} add pass tcp from me 10000 to any # Allow ports on iif ${fwcmd} add pass tcp from any to me 22 setup via ${iif} ${fwcmd} add pass tcp from me 22 to any ${fwcmd} add pass tcp from any to me 80 setup via ${iif} ${fwcmd} add pass tcp from me 80 to any ${fwcmd} add pass tcp from any to me 443 setup via ${iif} ${fwcmd} add pass tcp from me 443 to any ${fwcmd} add pass tcp from any to me 3128 setup via ${iif} ${fwcmd} add pass tcp from me 3128 to any ${fwcmd} add pass tcp from any to me 3389 setup via ${iif} ${fwcmd} add pass tcp from me 3389 to any ${fwcmd} add pass tcp from any to me 10000 setup via ${iif} ${fwcmd} add pass tcp from me 10000 to any #port mapping... case ${firewall_nat_enable} in [Yy][Ee][Ss]) ${fwcmd} nat 123 config ip ${whiteip} log same_ports redirect_port tcp 192.168.129.109:3389 3389 ${fwcmd} add 100 nat 123 tcp from 192.168.129.109 3389 to any ${fwcmd} add 100 nat 123 tcp from any to 192.168.129.109 3389 ;; esac # Reject&Log all setup of incoming connections from the outside ${fwcmd} add deny log tcp from any to any in via ${oif} setup
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ipfw freebsd 7.2"		+/–
	Сообщение от qwertykma on 14-Июл-09, 14:02
	Хорошо бы посмотреть на: #ipfw list
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору