forum.opennet.ru - "Помогите с IPFW" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите с IPFW"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с IPFW"
Сообщение от tzirulnicov on 22-Авг-04, 12:02 (MSK)
У меня уже голова пухнет... Почему следующие правила приводят к тому, что клиент 192.168.1.1 не может ни к одному из портов во внешнем мире (сервера в Интернет) приконектиться ? Только пинги проходят... tz# ipfw show 00110 2588 317525 divert 8668 ip from any to any 00200 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00210 0 0 reject ip from 192.168.1.0/24 to any in via vr0 00300 2634 260824 allow ip from any to any via lo0 00310 68 3072 allow tcp from me to any via vr0 keep-state 00320 1284 75292 allow icmp from any to any 00330 62 7036 allow udp from me to any 00340 34 2756 allow udp from any to me 00350 880 53676 allow ip from me to any 00400 621 33600 allow ip from any to me 01002 4132 225672 allow ip from 192.168.1.1 to any via rl0 01002 2616 164942 allow ip from any to 192.168.1.1 via rl0 65535 6549 664425 deny ip from any to any Если добавить правило 1000 allow ip from any to any, то таже ситуация. Если добавить то же самое правило, но под 120-ым номером, то всё ОК. Помогите !
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите с IPFW, lamerusha, 09:03 , 23-Авг-04, (1)
- Помогите с IPFW, tzirulnicov, 10:15 , 23-Авг-04, (2)
  - Помогите с IPFW, lamerusha, 10:52 , 23-Авг-04, (3)
  - Помогите с IPFW, andrew, 21:35 , 23-Авг-04, (8)
Помогите с IPFW, DENNN, 11:18 , 23-Авг-04, (4)
- Помогите с IPFW, tzirulnicov, 18:49 , 23-Авг-04, (7)
Помогите с IPFW, DENNN, 11:21 , 23-Авг-04, (5)
- Помогите с IPFW, tzirulnicov, 18:48 , 23-Авг-04, (6)
Помогите с IPFW, Arifolth, 09:53 , 24-Авг-04, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите с IPFW"

Сообщение от lamerusha on 23-Авг-04, 09:03  (MSK)

я думаю мало желающих разбираться в твоей "кучи" правил.
послушай прои идеологию работы ipfw
IMHO тебе это поможет правильно создавать правила.
1) правило выполняются - сверху вниз до первого явного указания на действие.
2) обрабатываются два раза - при входе на ipfw и при выходе
3) по умолчанию, divert natd равносилен allow
4) Лучший путь для FireWall'a - все нельзя - можно кое что .. ;)
5) Примеры ищи здесь на "ключах"
6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me"

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите с IPFW"

Сообщение от tzirulnicov on 23-Авг-04, 10:15  (MSK)

> я думаю мало желающих разбираться в твоей "кучи" правил.
Упрощу:
00110 2588 317525 divert 8668 ip from any to any
00350  880  53676 allow ip from me to any
00400  621  33600 allow ip from any to me
01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
65535 6549 664425 deny ip from any to any
- клиент 192.168.1.1 не может ни конектиться к портам серверов в Интернет, только к портам сервера. Ы?
> послушай прои идеологию работы ipfw
>IMHO тебе это поможет правильно создавать правила.
>
>1) правило выполняются - сверху вниз до первого явного указания на действие.
Тогда почему правило 65535 deny ip from any to any всё не перекрывает ?
По-моему, снизу вверх выполняются...
>2) обрабатываются два раза - при входе на ipfw и при выходе
>3) по умолчанию, divert natd равносилен allow
divert natd ip from any to any=allow ip from any to any ?
Тогда почему, будучи divert natd на первом месте, данное правило не разрешает коннекты ?
>4) Лучший путь для FireWall'a - все нельзя - можно кое что
>.. ;)
Я знаю. :)
>5) Примеры ищи здесь на "ключах"
>6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me"
>

Не нашёл. Не мог бы ты повториться ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите с IPFW"

Сообщение от lamerusha on 23-Авг-04, 10:52  (MSK)

ок
  - в ядре все включил ?
надеюсь Bridge - не указал ??? ;))) (недавно наступил на эти грабли ..)
еще один момент
IMHO nat для большей гибкости управления лучше включать так :
gtw# more /etc/run/natd
#!/bin/sh
natd -a %ext_ip%
-------------
       divert natd ip from $internal_inet to any out via  $out_if
       divert natd ip from any to %ext_ip%
-------------
>Не нашёл. Не мог бы ты повториться ?
нет не мог бы ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите с IPFW"

Сообщение от andrew (??) on 23-Авг-04, 21:35  (MSK)

>>1) правило выполняются - сверху вниз до первого явного указания на действие.
>
>Тогда почему правило 65535 deny ip from any to any всё не
>перекрывает ?
>По-моему, снизу вверх выполняются...
>
Блин. Все правильно. Если правило что-то открывает (или закрывает), то последующие правила на него уже НЕ повлияют. Разберись с работой ipfw.
А чтоб заработал твой пример просто правило с reject поставь после этих двух:
01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
Да, и диверт повесь на интерфейс, на котором крутится natd

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите с IPFW"

Сообщение от DENNN (??) on 23-Авг-04, 11:18  (MSK)

>У меня уже голова пухнет...
>
Балда ты потому что. Потому и не коннектиться клиент 192.168.1.1
>00210    0      0 reject ip from 192.168.1.0/24 to any in via vr0
>
>Если добавить правило 1000 allow ip from any to any, то таже
>ситуация.
>Если добавить то же самое правило, но под 120-ым номером, то всё
>ОК.
>Помогите !

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите с IPFW"

Сообщение от tzirulnicov on 23-Авг-04, 18:49  (MSK)

Какой обстоятельный и исчерпывающий ответ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите с IPFW"

Сообщение от DENNN (??) on 23-Авг-04, 11:21  (MSK)

кроме того, для правила
>00110 2588 317525 divert 8668 ip from any to any
надо указать внешний интерфейс, на котором работает NAT.
Загляни в оригинальный /etc/rc.firewall - там есть все и все работает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Помогите с IPFW"

Сообщение от tzirulnicov on 23-Авг-04, 18:48  (MSK)

Сетевой интерфейс в правилах IPFW у меня указан.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Помогите с IPFW"

Сообщение от Arifolth (ok) on 24-Авг-04, 09:53  (MSK)

>У меня уже голова пухнет...
>
>Почему следующие правила приводят к тому, что клиент 192.168.1.1 не может ни
>к одному из портов во внешнем мире (сервера в Интернет) приконектиться
>? Только пинги проходят...
>
>tz# ipfw show
>00110 2588 317525 divert 8668 ip from any to any
>00200    0      0 deny
>icmp from any to any in icmptypes 5,9,13,14,15,16,17
>00210    0      0 reject
>ip from 192.168.1.0/24 to any in via vr0
>00300 2634 260824 allow ip from any to any via lo0
>00310   68   3072 allow tcp from me to
>any via vr0 keep-state
>00320 1284  75292 allow icmp from any to any
>00330   62   7036 allow udp from me to
>any
>00340   34   2756 allow udp from any to
>me
>00350  880  53676 allow ip from me to any
>00400  621  33600 allow ip from any to me
>01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
>01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
>65535 6549 664425 deny ip from any to any
>
>Если добавить правило 1000 allow ip from any to any, то таже
>ситуация.
>Если добавить то же самое правило, но под 120-ым номером, то всё
>ОК.
>Помогите !
man ipfw
man natd
до просветления

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите с IPFW"
Сообщение от lamerusha on 23-Авг-04, 09:03 (MSK)
я думаю мало желающих разбираться в твоей "кучи" правил. послушай прои идеологию работы ipfw IMHO тебе это поможет правильно создавать правила. 1) правило выполняются - сверху вниз до первого явного указания на действие. 2) обрабатываются два раза - при входе на ipfw и при выходе 3) по умолчанию, divert natd равносилен allow 4) Лучший путь для FireWall'a - все нельзя - можно кое что .. ;) 5) Примеры ищи здесь на "ключах" 6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me"
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Помогите с IPFW"
	Сообщение от tzirulnicov on 23-Авг-04, 10:15 (MSK)
	> я думаю мало желающих разбираться в твоей "кучи" правил. Упрощу: 00110 2588 317525 divert 8668 ip from any to any 00350 880 53676 allow ip from me to any 00400 621 33600 allow ip from any to me 01002 4132 225672 allow ip from 192.168.1.1 to any via rl0 01002 2616 164942 allow ip from any to 192.168.1.1 via rl0 65535 6549 664425 deny ip from any to any - клиент 192.168.1.1 не может ни конектиться к портам серверов в Интернет, только к портам сервера. Ы? > послушай прои идеологию работы ipfw >IMHO тебе это поможет правильно создавать правила. > >1) правило выполняются - сверху вниз до первого явного указания на действие. Тогда почему правило 65535 deny ip from any to any всё не перекрывает ? По-моему, снизу вверх выполняются... >2) обрабатываются два раза - при входе на ipfw и при выходе >3) по умолчанию, divert natd равносилен allow divert natd ip from any to any=allow ip from any to any ? Тогда почему, будучи divert natd на первом месте, данное правило не разрешает коннекты ? >4) Лучший путь для FireWall'a - все нельзя - можно кое что >.. ;) Я знаю. :) >5) Примеры ищи здесь на "ключах" >6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me" > Не нашёл. Не мог бы ты повториться ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Помогите с IPFW"
	Сообщение от lamerusha on 23-Авг-04, 10:52 (MSK)
	ок - в ядре все включил ? надеюсь Bridge - не указал ??? ;))) (недавно наступил на эти грабли ..) еще один момент IMHO nat для большей гибкости управления лучше включать так : gtw# more /etc/run/natd #!/bin/sh natd -a %ext_ip% ------------- divert natd ip from $internal_inet to any out via $out_if divert natd ip from any to %ext_ip% ------------- >Не нашёл. Не мог бы ты повториться ? нет не мог бы ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Помогите с IPFW"
	Сообщение от andrew (??) on 23-Авг-04, 21:35 (MSK)
	>>1) правило выполняются - сверху вниз до первого явного указания на действие. > >Тогда почему правило 65535 deny ip from any to any всё не >перекрывает ? >По-моему, снизу вверх выполняются... > Блин. Все правильно. Если правило что-то открывает (или закрывает), то последующие правила на него уже НЕ повлияют. Разберись с работой ipfw. А чтоб заработал твой пример просто правило с reject поставь после этих двух: 01002 4132 225672 allow ip from 192.168.1.1 to any via rl0 01002 2616 164942 allow ip from any to 192.168.1.1 via rl0 Да, и диверт повесь на интерфейс, на котором крутится natd
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "Помогите с IPFW"
Сообщение от DENNN (??) on 23-Авг-04, 11:18 (MSK)
>У меня уже голова пухнет... > Балда ты потому что. Потому и не коннектиться клиент 192.168.1.1 >00210 0 0 reject ip from 192.168.1.0/24 to any in via vr0 > >Если добавить правило 1000 allow ip from any to any, то таже >ситуация. >Если добавить то же самое правило, но под 120-ым номером, то всё >ОК. >Помогите !
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Помогите с IPFW"
	Сообщение от tzirulnicov on 23-Авг-04, 18:49 (MSK)
	Какой обстоятельный и исчерпывающий ответ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Помогите с IPFW"
Сообщение от DENNN (??) on 23-Авг-04, 11:21 (MSK)
кроме того, для правила >00110 2588 317525 divert 8668 ip from any to any надо указать внешний интерфейс, на котором работает NAT. Загляни в оригинальный /etc/rc.firewall - там есть все и все работает.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Помогите с IPFW"
	Сообщение от tzirulnicov on 23-Авг-04, 18:48 (MSK)
	Сетевой интерфейс в правилах IPFW у меня указан.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

9. "Помогите с IPFW"
Сообщение от Arifolth (ok) on 24-Авг-04, 09:53 (MSK)
>У меня уже голова пухнет... > >Почему следующие правила приводят к тому, что клиент 192.168.1.1 не может ни >к одному из портов во внешнем мире (сервера в Интернет) приконектиться >? Только пинги проходят... > >tz# ipfw show >00110 2588 317525 divert 8668 ip from any to any >00200 0 0 deny >icmp from any to any in icmptypes 5,9,13,14,15,16,17 >00210 0 0 reject >ip from 192.168.1.0/24 to any in via vr0 >00300 2634 260824 allow ip from any to any via lo0 >00310 68 3072 allow tcp from me to >any via vr0 keep-state >00320 1284 75292 allow icmp from any to any >00330 62 7036 allow udp from me to >any >00340 34 2756 allow udp from any to >me >00350 880 53676 allow ip from me to any >00400 621 33600 allow ip from any to me >01002 4132 225672 allow ip from 192.168.1.1 to any via rl0 >01002 2616 164942 allow ip from any to 192.168.1.1 via rl0 >65535 6549 664425 deny ip from any to any > >Если добавить правило 1000 allow ip from any to any, то таже >ситуация. >Если добавить то же самое правило, но под 120-ым номером, то всё >ОК. >Помогите ! man ipfw man natd до просветления
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх