The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"проблемы с ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (BSD ipfw, ipf, ip-filter)
Изначальное сообщение [ Отслеживать ]

"проблемы с ipfw"  +/
Сообщение от Eyes email(ok) on 14-Мрт-10, 01:49 
Доброго времени суток.
Раскрываю проблемку.
Постановка задачи:

есть локальная сеть 192.168.1.0/24 которая получает интернет через шлюз.
Шлюз под freeBSD:
em0 - внешний интерфейс
em1 - внутренний интерфейс ip - 192.168.1.1
Необходимо что бы пользователи локальной сети получали почту с удаленного сервера по защищенном tls порту 995 и получали по 465.И ходили на удаленный рабочий стол по порту 3389.

Драма:
для последнего используеться проброс портов, это понятно и не интересно...но для tls
портов нужно натить, что у меня благополучно не получаеться.

Оружие:
итак использую было скурено много мануалов и остановился на ipfw+nat.
Привожу конфиги всго что может Вас заинтересовать:

$ ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 08:00:27:3a:a9:7f
        inet 10.10.10.100 netmask 0xffffff00 broadcast 10.10.10.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 08:00:27:45:40:54
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

$ ee /etc/rc.conf
defaultrouter="10.10.10.1"
hostname=".TEST"
ifconfig_em0="inet 10.10.10.100  netmask 255.255.255.0"
ifconfig_em1="inet 192.168.1.1 netmask 255.255.255.0"
keymap="ru.koi8-r"
linux_enable="YES"
gataway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
firewall_loging="YES"
nat_enable="YES"
nat_interface=em0

$ ee /etc/firewall.conf
#!/bin/sh

FwCMD="/sbin/ipfw"
LanOut="em0"
LanIn="em1"
IpIn="192.168.1.1"
NetMask="24"
NetIn="192.168.1.0"

${FwCMD} -f flush

${FwCMD} add check-state

${FwCMD} add allow udp from any to any 22 via ${LanOut}
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#${FwCMD} nat 100 config log if ${LanOut} deny_in reset same_ports
#${FwCMD} add nat 100 ip4 from any to any via ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any 3389 to any via ${LanOut}
${FwCMD} add allow udp from any to any 3389 via ${LanOut}
${FwCMD} add allow udp from any 22 to any via ${LanOut}

# ipfw show
00100   0     0 check-state
00200   0     0 allow udp from any to any dst-port 22 via em0
00300   0     0 allow ip from any to any via lo0
00400   0     0 deny ip from any to 127.0.0.0/8
00500   0     0 deny ip from 127.0.0.0/8 to any
00600   2   274 allow udp from any 53 to any via em0
00700   2   144 allow udp from any to any dst-port 53 via em0
00800   0     0 allow udp from any 3389 to any via em0
00900   0     0 allow udp from any to any dst-port 3389 via em0
01000   0     0 allow udp from any 22 to any via em0
65535 564 62688 allow ip from any to any


вот вроде все. Ребята пожалуйста помогите...где неправильно написал правило,или какие еще правила надо написать что бы занатить например порт 3389, ну и всоответствии 465 и 995

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "проблемы с ipfw"  +/
Сообщение от daloman on 14-Мрт-10, 22:35 
>[оверквотинг удален]
>ifconfig_em1="inet 192.168.1.1 netmask 255.255.255.0"
>keymap="ru.koi8-r"
>linux_enable="YES"
>gataway_enable="YES"
>sshd_enable="YES"
>firewall_enable="YES"
>firewall_script="/etc/firewall.conf"
>firewall_loging="YES"
>nat_enable="YES"
>nat_interface=em0

natd_enable="YES" 
natd_interface=em0

>[оверквотинг удален]
>${FwCMD} -f flush
>
>${FwCMD} add check-state
>
>${FwCMD} add allow udp from any to any 22 via ${LanOut}
>${FwCMD} add allow ip from any to any via lo0
>${FwCMD} add deny ip from any to 127.0.0.0/8
>${FwCMD} add deny ip from 127.0.0.0/8 to any
>#${FwCMD} nat 100 config log if ${LanOut} deny_in reset same_ports
>#${FwCMD} add nat 100 ip4 from any to any via ${LanOut}

${FwCMD} add divert divert 8668 ip from any to any via ${LanOut}

>${FwCMD} add allow udp from any 53 to any via ${LanOut}
>${FwCMD} add allow udp from any to any 53 via ${LanOut}
>${FwCMD} add allow udp from any 3389 to any via ${LanOut}
>${FwCMD} add allow udp from any to any 3389 via ${LanOut}
>${FwCMD} add allow udp from any 22 to any via ${LanOut}

Для подключений RDP используются tcp пакеты.

И правила приведите в более подходящий вид. На мой взгляд, кроме man ipfw, можно почитать следующие статьи (но ИМХО лучше man):
http://www.lissyara.su/articles/freebsd/tuning/ipfw/
http://www.lissyara.su/articles/freebsd/tuning/memoranda_abo.../


>
>вот вроде все. Ребята пожалуйста помогите...где неправильно написал правило,или какие еще правила
>надо написать что бы занатить например порт 3389, ну и всоответствии
>465 и 995

Посмотрите handbook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "проблемы с ipfw"  +/
Сообщение от sage444 (ok) on 14-Мрт-10, 23:15 
ненужно сбивать человека с верного пути
в ipfw уже давно есть nat внутри
и костыли вроде natd не нужны

ps
привет славик!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "проблемы с ipfw"  +/
Сообщение от daloman on 14-Мрт-10, 23:22 
>ненужно сбивать человека с верного пути
>в ipfw уже давно есть nat внутри
>и костыли вроде natd не нужны
>

Конечно есть, а кроме ipfw+natd есть еще способы осуществлять трансляцию адресов и проброс портов - каждый сам себе злобный буратино :)
Только, все-равно лучше разобраться в том, что такое NAT и port mapping.
Безусловно, все это только мое ИМХО.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "проблемы с ipfw"  +/
Сообщение от sage444 (ok) on 14-Мрт-10, 23:26 
>>ненужно сбивать человека с верного пути
>>в ipfw уже давно есть nat внутри
>>и костыли вроде natd не нужны
>>
>
>Конечно есть, а кроме ipfw+natd есть еще способы осуществлять трансляцию адресов и
>проброс портов - каждый сам себе злобный буратино :)
>Только, все-равно лучше разобраться в том, что такое NAT и port mapping.
>
>Безусловно, все это только мое ИМХО.

+1 разобраться надо
а инструмент уже второй вопрос
но имхо правильней как-то учиться на свежих версиях

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "проблемы с ipfw"  +/
Сообщение от Eyes email(ok) on 15-Мрт-10, 01:58 
траблу поришал. товаричти модераторы закрывайте тему.
кто столкнеться пишим syrotinsyava@mail.ru

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру