Запутался с взаимодействием ipnat и ipf и squid(FreeBSD 6.0)
Модераторы: Trinity admin`s, Free-lance moderator`s
Запутался с взаимодействием ipnat и ipf и squid(FreeBSD 6.0)
Есть гейт, на нам будет dns, почтовый релей (sendmail) и прокся (squid), апач, и фтп ресурс.
Решил ipf настроись жёстко. На внешнем интерфейсе решил зашарить все, оставить только порты ssh, smtp, 80, 8080, 21 и для пинга icmp-type 8.
Так вот, если я хочу ipnat'ом редиректить пакеты пришедшие на некоторые порты во внутреннюю сеть ipf их будет резать? И там же гемор какой-то с фтп, с активным и пассивным режимом?
И это ведь не повлияет на squid, он же сможет порты открывать любые(всмысле разрешенные в squid.conf)?
Короче, я запутался и на меня напал тупняк, хелп! :oops:
Решил ipf настроись жёстко. На внешнем интерфейсе решил зашарить все, оставить только порты ssh, smtp, 80, 8080, 21 и для пинга icmp-type 8.
Так вот, если я хочу ipnat'ом редиректить пакеты пришедшие на некоторые порты во внутреннюю сеть ipf их будет резать? И там же гемор какой-то с фтп, с активным и пассивным режимом?
И это ведь не повлияет на squid, он же сможет порты открывать любые(всмысле разрешенные в squid.conf)?
Короче, я запутался и на меня напал тупняк, хелп! :oops:
Я решил жить вечно, пока всё идёт хорошо...
Re: Запутался с взаимодействием ipnat и ipf и squid....
Ты уж разберись как отфильтровалZorn писал(а):Есть гейт, на нам будет dns, почтовый релей (sendmail) и прокся (squid), апач, и фтп ресурс.
Решил ipf настроись жёстко. На внешнем интерфейсе решил зашарить все, оставить только порты ssh, smtp, 80, 8080, 21 и для пинга icmp-type 8.
Так вот, если я хочу ipnat'ом редиректить пакеты пришедшие на некоторые порты во внутреннюю сеть ipf их будет резать? И там же гемор какой-то с фтп, с активным и пассивным режимом?
И это ведь не повлияет на squid, он же сможет порты открывать любые(всмысле разрешенные в squid.conf)?
Короче, я запутался и на меня напал тупняк, хелп! :oops:
Обычно фильтруют на входящие, default=deny all, перед этим - разрешающие правила (ssh, smtp, 80, 8080, 21.....).....FTP работать будет, но в пассиве.....
Как я понимаю, ipf успеет порезать пакеты до ipnat, ибо коннект же снаружи всё равно будет идти к определенному порту на внешнем интерфейсе, и только потом перекинется во внутреннюю сеть...
для теста работы port-mapping-а можно поюзать rinetd, он делает банальный маппинг...Правда, работает в userland, разумеется, поэтому лучше ipnat - но для тестов и оный пойдет
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Запутался с взаимодействием ipnat и ipf и squid(FreeBSD
Когда на внутренний интерфейс приходит пакет, то как правило отрабатывают два правила:
1. входящий запрос
2. исходящий ответ
Пример:
Таких правил на роутере с двумя интерфейсами должно быть 4-е. То есть приходит запрос из внутренней сети, попадает на обработку на внутреннем интерфейсе, потом пакет уходит на внешний интерфейс. А наружу пакет уже уходит от имени и адреса внешнего интерфейса. И так далее.
1. входящий запрос
2. исходящий ответ
Пример:
Код: Выделить всё
/sbin/ipfw add 1208 pass tcp from 192.168.0.0/24 to any 25,110
/sbin/ipfw add 1209 pass tcp from any 25,110 to 192.168.0.0/24 established
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Запутался с взаимодействием ipnat и ipf и squid(FreeBSD
А для редиректа портов во фре есть такая штука в портах rinetd, очень удобная вещь, маленькая и простая как карандаш.
понял! Значит те порты, с которые я буду редиректить пакеты придётся дополнительно расшарить в ipf.
я пока говорю только про входящие пакеты на внешний интерфейс , а остальные пусть будут allow all.
Вообще главное зашарить порты in внешний_интерфейс и in внутренний (что в локальную сеть смотрит)?
А для named надо что-то шарить?
я пока говорю только про входящие пакеты на внешний интерфейс , а остальные пусть будут allow all.
Вообще главное зашарить порты in внешний_интерфейс и in внутренний (что в локальную сеть смотрит)?
А для named надо что-то шарить?
Я решил жить вечно, пока всё идёт хорошо...
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
А что значит шарить? Зачем? Если речь про то, чтобы сделать дырку с внешнего интерфейса на внутренний - то это проброс порта. А что такое шаринг - я не знаю.Zorn писал(а):Вообще главное зашарить порты in внешний_интерфейс и in внутренний (что в локальную сеть смотрит)?
А для named надо что-то шарить?
замечание по поводу rinetd
это хорошо работает, только в том случае, если прикладной программе (на том адресе, куда редиректят) не надо анализировть ip отправителя. иначе всегда будем видеть ip шлюза.
чтобы это работало корректно должна быть строка NATD вида:
/sbin/natd -a [внешний адрес]:[порт] -port [порт NATD] -m -s -u -log_denied -redirect_port tcp [внутренний адрес]:[порт] [внешний адрес]:[порт]
подробности на man natd
чтобы это работало корректно должна быть строка NATD вида:
/sbin/natd -a [внешний адрес]:[порт] -port [порт NATD] -m -s -u -log_denied -redirect_port tcp [внутренний адрес]:[порт] [внешний адрес]:[порт]
подробности на man natd
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Named чего и куда? Кто должен иметь право запроса? Есть ли на сервере named? Настроен ли он на форвард запросов? Должен ли пользователь иметь резолвинг или для него достаточно прокси?Zorn писал(а):Так вот, для named мне тоже что-то открыть нужно?
Если очень хорошо подумать головой, то в моем примере можно понять схему потока запросов и ответов. Из нее можно понять, как написать свои правила.
-
- Advanced member
- Сообщения: 103
- Зарегистрирован: 04 окт 2004, 15:07
Re: Запутался с взаимодействием ipnat и ipf и squid(FreeBSD
Во фре - есть штатный natd. Гораздо прямее rinetd, после котого, например, приложению не видно src-адреса с которого пришел пакет.Stranger03 писал(а):А для редиректа портов во фре есть такая штука в портах rinetd, очень удобная вещь, маленькая и простая как карандаш.
-
- Advanced member
- Сообщения: 103
- Зарегистрирован: 04 окт 2004, 15:07
Re: Запутался с взаимодействием ipnat и ipf и squid(FreeBSD
Прежде, чем принимать такое ответственное решение - полезно прочитать хотя бы содержимое файла /etc/rc.firewall - там все достаточно подробно прокомментировано. Ну и неплохо ознакомиться с манами на ipfw, pf.conf, pfctl, tcpdump.Zorn писал(а):Решил ipf настроись жёстко.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей