https://www.opennet.dev/openforum/vsluhforumID10/4805.html Доброго времени суток!<br>Мучаюсь сегодня весь день, млин, не пойму, где что понял неправильно. <br>Пусть,внешний IP- X.X.X.X , внутренняя сетевая - iif, внешняя - oif, внутренняя сеть - 192.168.0.0/24<br>Конфиг (отбрасывая пока ограничения по спуфингу и всяким разным появлениям пакетов, там, где им не место быть, оставляя самый костяк) - <br><br>#!/bin/sh<br><br>/sbin/ipfw -q -f flush<br>/sbin/ipfw add 100 allow all from any to any via lo<br>/sbin/ipfw add 200 allow all from any to any via iif<br>/sbin/ipfw add 250 check-state<br>/sbin/ipfw add 300 divert natd ip from 192.168.0.0/24 to any out via oif<br>/sbin/ipfw add 350 divert natd ip from any to x.x.x.x. in via oif<br>/sbin/ipfw add 400 allow udp from any to any 53 out via oif keep-state<br>/sbin/ipfw add 450 allow tcp from any to any 80 out via oif keep-state<br>/sbin/ipfw add 700 allow icmp from any to any<br>ну и по дефолту deny all from any to any<br><br>И вот засада - с самого роутера все, что разрешил - есть, а с тестовой машины, у которой шлюзом - внутренний адрес роутера, DNS-ом - https://www.opennet.dev/openforum/vsluhforumID10/4805.html#29 Tue, 15 Mar 2011 12:47:17 GMT Ну наконец-то!! Фаер заработал именно так, как нужно. <br>Итак, финальный костяк statefull -конфига (собственно, почти не отличающийся от крайнего вышепреведенного)<br><br>#!/bin/sh<br><br>/sbin/ipfw -q -f flush<br>/sbin/ipfw add 100 allow all from any to any via lo<br>/sbin/ipfw add 120 allow all from any to any via iif<br>/sbin/ipfw add 250 divert natd ip from any to x.x.x.x in via oif<br>/sbin/ipfw add 260 check-state<br>/sbin/ipfw add 300 skipto 1000 udp from any to any 53 out via oif keep-state<br>/sbin/ipfw add 310 skipto 1000 tcp from any to any 80,25,110 out via oif keep-state<br>/sbin/ipfw add 320 skipto 1000 icmp from any to any out via oif keep-state<br>/sbin/ipfw add 400 deny all from any to any<br>/sbin/ipfw add 1000 divert natd ip from 192.168.0.0/24 to any out via oif<br>/sbin/ipfw add 1100 allow all from any to any via oif<br>#и дефолтный deny all from any to any<br><br>Есс-но, самыми верхними правилами нужно добить всякий антиспуфинг и прочие соблюдения rfc, с их учетом завтра этот же конфиг выложу и попрошу всех Вас его раскри https://www.opennet.dev/openforum/vsluhforumID10/4805.html#28 Tue, 15 Mar 2011 11:46:46 GMT &gt;&gt; Да, для внешнего интерфейса. Внутренний пройдет по 2-му правилу.<br>&gt; Не понял, по какому второму??<br><br>add 200 allow ip from any to any via iif <br><br>&gt;&gt; Очень интересно, как отработает эта конструкция:) <br>&gt; Что вас рассмешило? Я где-то ошибся?<br><br>Я не претендую на _знание_ ipfw, так как он у меня тоже на стадии изучения. Если я правильно понял, в предлагаемой конструкции в динамическую таблицу должно попасть не правило прохода экрана, а переход на статическое правило прохода? А понятия 'интересно' и 'смешно' не путаю. Но, если я прав, подход забавный. Без обид?<br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#27 Tue, 15 Mar 2011 09:53:47 GMT &gt;[оверквотинг удален]<br>&gt; add 600 deny ip from any to any <br>&gt; add 1000 natd ip from any to any out via oif <br>&gt; add 1100 allow ip from any to any via <br>&gt; #и дефолтный дроп <br>&gt; Что думаете? К глубочайшему сожалению, прямо сейчас нет возможности проверить на роутере. <br>&gt; Но в теории - как раз то, что нужно...<br>&gt; кип-стайтит пакеты из локальной сети, натит все, что нужно. Также проходят пакеты <br>&gt; от самого роутера. Входящие пакеты, не принадлежащие открытым изнутри соединениям - <br>&gt; отбрасываются правилом 600. Смотрю в упор 28-й раз, вроде теоретически должен <br>&gt; работать...<br><br>хм - решили усложнить жизнь skip-to ))<br>если уж так не прет - то берите tcpdump + вешайте на все правила log и смотрите ...<br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#26 Tue, 15 Mar 2011 09:44:45 GMT Перетащу сюда, вниз, что то ответы вразброс идут...<br>Итак, вот костяк конфига<br><br>add 100 allow ip from any to any via lo<br>add 200 allow ip from any to any via iif<br>add 300 natd ip from any to any in via oif<br>add 400 check-state<br>add 500 skipto 1000 tcp from any to any 80,25,110 out via oif keep-state<br>add 510 skipto 1000 udp from any to any 53 out via oif keep-state<br>add 520 skipto 1000 icmp from any to any out via oif keep-state<br>add 600 deny ip from any to any<br>add 1000 natd ip from any to any out via oif<br>add 1100 allow ip from any to any via<br>#и дефолтный дроп<br><br>Что думаете? К глубочайшему сожалению, прямо сейчас нет возможности проверить на роутере.<br>Но в теории - как раз то, что нужно...<br>кип-стайтит пакеты из локальной сети, натит все, что нужно. Также проходят пакеты от самого роутера. Входящие пакеты, не принадлежащие открытым изнутри соединениям - отбрасываются правилом 600. Смотрю в упор 28-й раз, вроде теоретически должен работать...<br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#25 Tue, 15 Mar 2011 09:17:31 GMT <br>&gt;&gt;&gt; и, наверное, ipfw add deny all from any to any established после <br>&gt;&gt;&gt; check-state?<br>&gt; ... ipfw add deny all from any to any via oif established <br>&gt; ...<br><br>а какже udp например?<br><br>&gt; И входящие заодно, если я правильно понимаю. А 'фаеезе' это что?<br><br>фаере <br><br>это тестовый вариант фаера - товарисщь пытается запустить statefull<br><br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#24 Tue, 15 Mar 2011 08:13:14 GMT ну в принципе должно быть так, конечно - <br><br>add 100 allow ip from any to any via lo<br>add 200 allow ip from any to any via iif<br>add 300 natd ip from any to any in via oif<br>add 400 check-state<br>add 500 skipto 1000 tcp from any to any 80,25,110 out via oif keep-state<br>add 510 skipto 1000 udp from any to any 53 out via oif keep-state<br>add 520 skipto 1000 icmp from any to any out via oif keep-state<br>#в первом варианте правило из 500-й серии оставил одно для наглядности<br>add 600 deny ip from any to any<br>add 1000 natd ip from any to any out via oif<br>add 1100 allow ip from any to any via oif<br>#и дефолтный дроп<br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#23 Tue, 15 Mar 2011 08:03:58 GMT <br>&gt; Да, для внешнего интерфейса. Внутренний пройдет по 2-му правилу.<br><br>Не понял, по какому второму??<br><br>&gt; Очень интересно, как отработает эта конструкция:) <br><br>Что вас рассмешило? Я где-то ошибся? <br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#22 Tue, 15 Mar 2011 07:04:05 GMT &gt;[оверквотинг удален]<br>&gt; DNS <br>&gt; allow tcp allow from x.x.x.x to any dst-port 25,110,80 keep-state # разрешаем <br>&gt; почта+веб <br>&gt; allow icmp from any to any keep-state <br>&gt; deny ip from any to any # дефолтный дроп <br>&gt; Смотрите, правила с keep-state в этом варианте стоят после нат и относятся <br>&gt; только к собственно роутеру (x.x.x.x или me, как угодно), поэтому исходящий <br>&gt; пакет с внутреннего хоста то пройдет (хоть и в таблицу состояний <br>&gt; не попадет), но входящий - нет, поскольку динамическое правило по сути <br>&gt; - не для него.<br><br>Да, для внешнего интерфейса. Внутренний пройдет по 2-му правилу.<br>&gt;[оверквотинг удален]<br>&gt; add 100 allow ip from any to any via lo <br>&gt; add 200 allow ip from any to any via iif <br>&gt; add 300 natd ip from any to any in via oif <br>&gt; add 400 check-state <br>&gt; add 500 skipto 1000 tcp from any to any 80,25,110 out via <br>&gt; oif keep-state <br>&gt; add 600 deny ip from any to any <br>&gt; add 1000 natd ip from any to any out via oif <br>&gt; add 1100 allow ip from any to any via oif <br>&gt; #и дефолтный дроп <br><br> https://www.opennet.dev/openforum/vsluhforumID10/4805.html#21 Tue, 15 Mar 2011 06:51:13 GMT &gt;&gt;&gt; allow icmp from any to any keep-state<br>&gt;&gt; а 'keep-state' здесь нужен?<br>&gt; нужет <br><br>Категорично... А что это дает?<br><br>&gt;&gt; и, наверное, ipfw add deny all from any to any established после <br>&gt;&gt; check-state?<br><br>... ipfw add deny all from any to any via oif established ...<br><br>&gt; ммм прежде чем вносить глупые коменты может стоит внимательно прочитать?<br><br>Так укажите, где глупость и почему глупость или игнорируйте. Злиться зачем? <br>&gt; в данном фаеезе дозведы - потому как до дропа идут правила разрешающие <br>&gt; исходящие пакеты ...<br><br>И входящие заодно, если я правильно понимаю. А 'фаеезе' это что?<br><br>