bsd 5.2+ipfw+помогите плиииз...

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
linz
member
Сообщения: 31
Зарегистрирован: 19 июл 2004, 14:27
Откуда: москау
Контактная информация:

bsd 5.2+ipfw+помогите плиииз...

Сообщение linz » 20 авг 2004, 15:28

немогу понять чего я написал не так...ipwf и соответственно natd работают в режиме "open" всё пропускается. а вот в нужном мне "myrouter" - глухо как в бронепоезде. ткните плиз носом в котором месте я идиот
вот мой rc.firewall:

#!/bin/sh
if [ -z "${source_rc_confs_defined}" ]; then
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
fi
setup_loopback () {
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

if [ -n "${1}" ]; then
firewall_type="${1}"
fi
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac
${fwcmd} -f flush
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Mm][Yy][Rr][Oo][Uu][Tt][Ee][Rr]|[Cc][Ll][Oo][Ss][Ee][Dd])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac

case ${firewall_type} in
[Oo][Pp][Ee][Nn])
setup_loopback
${fwcmd} add 65000 pass all from any to any
;;

[Mm][Yy][Rr][Oo][Uu][Tt][Ee][Rr])

# outside network
oif="lnc0"
onet="172.26.5.0"
omask="255.255.255.0"
oip="172.26.5.108"

# inside network
iif="lnc1"
inet="192.168.1.0"
imask="255.255.255.0"
iip="192.168.1.1"

setup_loopback

${fwcmd} add deny log all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny log all from ${onet}:${omask} to any in via ${iif}

case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac
${fwcmd} add deny log all from any to any via ${oif}
${fwcmd} add deny tcp from any to ${oip} 113 setup in via ${oif}
${fwcmd} add deny tcp from any to ${oip} 139 setup in via ${oif}
${fwcmd} add deny tcp from any to ${oip} 389 setup in via ${oif}
${fwcmd} add deny tcp from any to ${oip} 445 setup in via ${oif}
${fwcmd} add deny udp from any 137 to any in via ${oif}
${fwcmd} add deny udp from any to any 137 in via ${oif}
${fwcmd} add deny udp from any 138 to any in via ${oif}
${fwcmd} add deny udp from any 513 to any in via ${oif}
${fwcmd} add deny udp from any 525 to any in via ${oif}
${fwcmd} add allow all from any to any via ${iif}
${fwcmd} add allow all from ${onet}:${omask} to any via ${oif}
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow all from any to any frag
${fwcmd} add allow tcp from any to ${oip} 21 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 22 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 25 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 110 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 53 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 80 setup in via ${oif}
${fwcmd} add allow tcp from any to ${oip} 443 setup in via ${oif}
${fwcmd} add allow udp from any 53 to ${oip} in via ${oif}
${fwcmd} add allow udp from any 123 to ${oip} in via ${oif}
${fwcmd} add allow udp from any to ${oip} 53 in via ${opi}
${fwcmd} add unreach port udp from any to ${oip} 33435-33524 in via ${oif}
${fwcmd} add allow icmp from any to any in via ${oif} icmptypes 0,3,4,8,11
${fwcmd} add deny all from any to 255.255.255.255
${fwcmd} add deny log all from any to any
;;

[Cc][Ll][Oo][Ss][Ee][Dd])
setup_loopback
;;
esac

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 22 авг 2004, 15:54

вы берете стандартный и пример и правите его?
Этак не разобраться. У вас куча переменных и ссылок на переменные из rc.conf.
Даже если вы и его (rc.conf) приведете - едва ли кто станет разбираться с таким кучерявым примером.

Советую сделать так:

1) сделать свой скрипт /etc/rules.sh

2) в /etc/rc.conf
firewall_enable="YES"
firewall_script="/etc/rules.sh"

3) в /etc/rules.sh написать

#!/bin/sh
fwcmd="/sbin/ipfw -fq"
${fwcmd} flush
дальше написать правила, какие считает нужным
и добавить

${fwcmd} add 65000 allow log ip from any to any

_____________
теперь остается смотреть на лога по 65000 правилу, до которого дело не должно доходить.

очень помогает
ipfw -a list и поискать на предмет ip адресов вашего myrouter.

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей