The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Доступ к НАТ"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(ok) on 02-Фев-05, 01:38  (MSK)
Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall
${ipfw} add 100 divert natd all from any to any via [realIP]
в итоге через него стали ходить все, кому не лень
теперь исправил на
${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP]
${ipfw} add 102 divert natd all from any to [realIP] in via [realIP]

Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что я неправильно сделал?

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Доступ к НАТ" 
Сообщение от Chosen Искать по авторуВ закладки(ok) on 02-Фев-05, 04:35  (MSK)
>Помогите, кто может!!! Первый раз поставил FreeBSD. По дурости прописал в rc.firewall
>
>${ipfw} add 100 divert natd all from any to any via [realIP]
>
>в итоге через него стали ходить все, кому не лень
>теперь исправил на
>${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via
>[realIP]
>${ipfw} add 102 divert natd all from any to [realIP] in via
>[realIP]
>
>Теперь смотрю trafshow - то-же самое, пол инета на моём нате. Что
>я неправильно сделал?


не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 02-Фев-05, 09:19  (MSK)
>
>не пробовал прикрыть прохождение пакетов серых сетей из вне (с внешнего интерфейса)
>

Пишу в фаерволе
$(ipfw) add 530 deny ip from 192.168.0.0/16 to any in via rl0
$(ipfw) add 540 deny ip from 172.18.12.0/12 to any in via rl0
$(ipfw) add 550 deny ip from 10.0.0.0/8 to any in via rl0

перегружаюсь, проверяю ipfw -d list
все правила есть, этих нет - чертовщина какая-то

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Доступ к НАТ" 
Сообщение от Z_M Искать по авторуВ закладки(??) on 02-Фев-05, 11:28  (MSK)
скобки фигурные поставь !
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 02-Фев-05, 15:25  (MSK)
>скобки фигурные поставь !

Спасибо за подсказку, правила заработали - сам не знаю, как круглые влепил.
Но смотрю trafshow - ничего не изменилось, пытаюсь отрубить кого-то из халявщиков -
${ipfw} add 200 deny all from 217.69.192.135 to [realIP]
перегружаюсь, опять он (217.69.192.135)сидит. Что делать??? Помогите пожайлуста!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Доступ к НАТ" 
Сообщение от wanderer emailИскать по авторуВ закладки(??) on 02-Фев-05, 16:32  (MSK)
а вот так не прикольней ?

fwcmd="/sbin/ipfw -q"

ip_ext="gate_real_ip"
if_ext="rl0"

localnet="192.168.1.0/24"
internet="not 192.168.1.0/24,gate_real_ip"

${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext}
${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext}

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(ok) on 02-Фев-05, 16:46  (MSK)

>${fwcmd} add divert natd ip from ${localnet} to ${internet} via ${if_ext}
>${fwcmd} add divert natd ip from ${internet} to ${ip_ext} via ${if_ext}

Всё равно где-то пролазят. Может быть через squid - он установлен, но не настроен у меня?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Доступ к НАТ" 
Сообщение от wanderer emailИскать по авторуВ закладки(??) on 02-Фев-05, 17:07  (MSK)
покажи что trafshow показывает
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(ok) on 02-Фев-05, 17:50  (MSK)
gw# trafstat -i rl0

(dc0) gw11 at Feb  2 16:00:01 - Feb  2 17:20:17
Summary: 6938403 data bytes, 9915827 all bytes, 26 records
     From           Port         To            Port  Proto     Data  All    

192.168.77.1       1900    239.255.255.250    1900    udp      69678 74718
ads.web.aol.com    http    217.69.213.163     client  tcp      898        
ads.web.aol.com    http    [realIP]           client  tcp      38898      
[realIP]           3128    61-217-110-65.dyna client  tcp          0      
61-217-110-65.dyna client  [realIP]           3128    tcp          0      
64.12.25.156       aol     [realIP]           client  tcp      5858      
64.12.26.152       aol     [realIP]           client  tcp      5614      
sr1.telmos.ru      domain  [realIP]           client  udp      5890      
217.69.213.163     netbio  [realIP]           netbio  udp      5028      
217.69.220.71      netbio  [realIP]           netbio  udp      3600      
217.69.220.72      client  217.69.220.79      netbio  udp      4800 5500
217.69.220.72      client  217.69.220.79      netbio  udp      3450 5382
217.69.220.77      netbio  217.69.220.79      netbio  udp      2850 4446
[realIP]           client  ads.web.aol.com    http    tcp      3013 4357
[realIP]           linx    64.12.25.156       client  tcp      1183 4023
217.69.220.71      netbio  217.69.220.79      netbio  udp      3132 3636
[realIP]           client  sr1.telmos.ru      domain  udp      1799 3199
217.69.220.77      netbio  217.69.220.79      netbio  ud       2649 3013
[realIP]           client  64.12.26.152       aol     tcp       460 2940
212.48.36.117      netbio  212.48.36.127      netbio  udp       2580 2916
212.48.36.126      netbio  212.48.36.127      netbio  udp       2447 2783
217.69.220.67      netbio  217.69.220.79      netbio  udp       2436 2772
217.69.213.162     netbio  217.69.213.175     netbio  udp       2422 2758
212.48.36.114      netbio  212.48.36.127      netbio  udp       2275 2583
192.168.77.2       netbio  192.168.77.7       netbio  udp       2246 2554

sr1.telmos.ru..domain     217.69.213.163..1046       udp            
как его отсечь???
${ipfw} add 470 deny all from sr1.telmos.ru to any
не помогает!!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(ok) on 02-Фев-05, 18:33  (MSK)
>sr1.telmos.ru..domain     217.69.213.163..1046    udp
>как его отсечь???
>${ipfw} add 470 deny all from sr1.telmos.ru to any
>не помогает!!!!

кстати, ipfw -d list показал, что оно не заработало, видимо по IP нужно -
${ipfw} add 470 deny all from [sr1_IP] to any ???

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Доступ к НАТ" 
Сообщение от wanderer emailИскать по авторуВ закладки(??) on 03-Фев-05, 13:02  (MSK)
>[realIP]           3128    61-217-110-65.dyna client  tcp          0      
>61-217-110-65.dyna client  [realIP]           3128    tcp          0    

а вот это что за фигня

помойму кто то из инета сидит на вашем прокси сервере
т.е через ваш прокси, из инета лазит по инету

может вам это нормально, но обычно прокси разрешают только для внутренней сети

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Доступ к НАТ" 
Сообщение от adc emailИскать по авторуВ закладки(ok) on 02-Фев-05, 19:06  (MSK)
а зачем так сложно? ;) Ведь твои два правила делают в итоге тоже самое?

${fwcmd} add divert natd ip from any to any via ${oif}

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(ok) on 02-Фев-05, 19:29  (MSK)
>а зачем так сложно? ;) Ведь твои два правила делают в итоге
>тоже самое?
>
>${fwcmd} add divert natd ip from any to any via ${oif}
Я не понял, это прикол, или вы так издеваетесь???
Вы мне советуете написать
${fwcmd} add divert natd ip from any to any via ${oif} ???
так это то-же, что у меня и было - то есть открытый доступ для ВСЕХ!!!

${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via [realIP]
${ipfw} add 102 divert natd all from any to [realIP] in via [realIP]
первое правило заворачивает в инет пакеты из моей сетки, а второе - все из инета В мою сетку - или я неправ??

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Доступ к НАТ" 
Сообщение от adc emailИскать по авторуВ закладки(ok) on 02-Фев-05, 22:11  (MSK)
>Я не понял, это прикол, или вы так издеваетесь???
>Вы мне советуете написать
>${fwcmd} add divert natd ip from any to any via ${oif} ???
Давайте думать логически. Выше вам посоветовали два правила:
${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}

И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается вторым. Ну и в чём разница?

>так это то-же, что у меня и было - то есть открытый
>доступ для ВСЕХ!!!
Я бы где-нибудь в начале правил ещё прописал:
    # Stop spoofing
${fwcmd} add deny log ip from ${inet} to any in via ${oif}
${fwcmd} add deny log ip from ${onet} to any in via ${iif}


P.S. Я тоже не гуру, а только учусь, могу ошибаться в чём-то и буду рад, если меня поправят.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 03-Фев-05, 10:53  (MSK)
>Давайте думать логически. Выше вам посоветовали два правила:
>${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
>
>${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}
>
>
>И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается
>вторым. Ну и в чём разница?
>
Мне кажется, что всё дело в IN и OUT , которые перед VIA - первая строчка работает только наружу, а вторая только во внутрь.
Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "Доступ к НАТ" 
Сообщение от adc emailИскать по авторуВ закладки(??) on 10-Фев-05, 00:03  (MSK)
>Кстати, спасибо за подсказку, а что делают правила, которые вы советуете прописать?
Удаляют пакеты с внутренними адресами, которые пришли из внешнего интерфейса и наоборот.

Кстати, почитал я тут man natd (чего и вам желаю ;-). Наверное, решение вашей проблемы в том, чтобы прописать в rc.conf
natd_flags="-deny_incoming -log_denied -use_sockets -same_ports -unregistered_only"
Особое внимание на первый и последний ключи. Что они значат можно посмотреть в man natd.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Доступ к НАТ" 
Сообщение от wanderer emailИскать по авторуВ закладки(??) on 03-Фев-05, 11:34  (MSK)
>Давайте думать логически. Выше вам посоветовали два правила:
>${fwcmd} add divert natd ip from 192.168.1.0/24 to not 192.168.1.0/24,gate_real_ip via ${if_ext}
>
>${fwcmd} add divert natd ip from not 192.168.1.0/24,gate_real_ip to gate_real_ip via ${if_ext}
>
>
>И что получается? Любой пакет, который не подпадает под 1-е правило, обрабатывается
>вторым. Ну и в чём разница?
>

поясняю
первое правило говорит натить все пакеты на внешнем интерфейсе шлюза
при условии что отправитель внутренняя сеть а получатель интернет

второе говорит натить все пакеты на внешнем интерфейсе шлюза
при условии что отправитель интернет а получатель внешний ип адрес шлюза

при этом по второму правилу, нат будет делать обратное преобразование адресов (в серые, с тем чтобы пустить их в локалку) по своей таблице,
а таблица эта генерится исходящими через нат пакетами ...

и соответственно воспользоваться натом из интернета для доступа в интернет не считаю возможным

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Доступ к НАТ" 
Сообщение от wanderer emailИскать по авторуВ закладки(??) on 03-Фев-05, 11:36  (MSK)
т.е. НЕ ВОЗМОЖНЫМ
сори это была описка :)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 03-Фев-05, 12:29  (MSK)
Тоесть правила
${ipfw} add 101 divert natd all from 192.168.0.0/24 to any out via
>[realIP]
>${ipfw} add 102 divert natd all from any to [realIP] in via
>[realIP
верные, тогда где ошибка? Где смотреть?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 03-Фев-05, 14:51  (MSK)
Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Доступ к НАТ" 
Сообщение от butcher emailИскать по авторуВ закладки(ok) on 03-Фев-05, 15:00  (MSK)
>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать

Телепаты все в отпуске.
Squid у вас стоит на этом сервере или нет?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Доступ к НАТ" 
Сообщение от mayd Искать по авторуВ закладки(??) on 04-Фев-05, 16:04  (MSK)
>>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать
>
>Телепаты все в отпуске.
>Squid у вас стоит на этом сервере или нет?

Нет, не стоит, только НАТ

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Доступ к НАТ" 
Сообщение от мимо проходил Искать по авторуВ закладки on 04-Фев-05, 00:05  (MSK)
>Ну, что нет ни одного НОРМАЛЬНОГО админа, способного подсказать

тут нет, они в ru.unix.bsd обитают

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "Доступ к НАТ" 
Сообщение от Аномин emailИскать по авторуВ закладки on 16-Фев-05, 14:48  (MSK)
нормально надо задавать вопросы:
а настройка ната - это даже и не вопрос, пять минут и всё в ажуре.

лень отвечать, напрягать мозги....

ты б сказал - ПИВО ЕСТЬ = ИНЕТа НЕТ!!! :)
народ бы помог - хотя только за идею!

а насчёт админов - так ТЫ сам такой.
тебе всё рассказали, расжевали и в рот положили - просто выкинь лишнее из постов и будет щасте.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру