Хочу настроить связку ipfw+ipnat на freebsd 8.2, но ничего не получается. До этого нат работал через ipfw - все работало.
Сейчас имеем:# cat /etc/rc.conf
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
ifconfig_re0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig rl0 ether 00:00:00:00:00:00 (тут прописан мак...)
ifconfig_rl0="inet 193.х.х.х netmask 255.255.255.192"
defaultrouter="193.х.х.х"
gateway_enable="YES"
hostname="server.radio.lan"
sshd_enable="YES"
fsck_y_enable="YES"
background_fsck="NO"
ntpdate_enable="YES"
ntpd_enable="YES"
firewall_enable="YES"
firewall_type="open"
#firewall_type="/etc/ipfw"
apache22_enable="YES"
mysql_enable="YES"
postfix_enable="YES"
dovecot_enable="YES"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="re0" # на каком интерфейсе крутится DHCP
mpd_enable="YES"
nmbd_enable="YES"
smbd_enable="YES"
squid_enable="YES"
# IPNat
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
и файл /etc/ipnat.rulescat /etc/ipnat.rules
map rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 0.0.0.0/32
rdr re0 0/0 port 80 -> 127.0.0.1 port 3128
rdr rl0 0.0.0.0/0 port 9800 -> 192.168.0.36 port 4899
Вот в такой связке - все работает. Инет на локальных машинах есть. Все ок. Но сейчас же firewall_type="open"
Как только я делаю firewall_type="/etc/ipfw"
И содержимое /etc/ipfw
cat /etc/ipfw
# разрешаем все через интерфейс локальной сети
add 1040 allow ip from any to any via re0
# боимся непонятного
add 1050 deny ip from any to 192.168.0.0/16 in recv rl0
add 1060 deny ip from 192.168.0.0/16 to any in recv rl0
add 1070 deny ip from any to 172.16.0.0/12 in recv rl0
add 1080 deny ip from 172.16.0.0/12 to any in recv rl0
add 1090 deny ip from any to 10.0.0.0/8 in recv rl0
add 10100 deny ip from 10.0.0.0/8 to any in recv rl0
add 10110 deny ip from any to 169.254.0.0/16 in recv rl0
add 10120 deny ip from 169.254.0.0/16 to any in recv rl0
#Открываем порты
# VPN-connect - это порт для даемона MPD, на него поступают запросы на авториза
add 10130 allow tcp from any to me 1723 setup
# SSH
add 10170 allow tcp from any to me 22 in via rl0
# Incoming Pings
add 10180 allow icmp from any to me icmptypes 8 in recv rl0
# Почта, 25
add 10190 allow tcp from any to me dst-port 25 setup
# WEB
add 10210 allow tcp from any to me dst-port 80 setup
# боимся непонятного
add 65534 deny all from any to any
Все инет пропадает... пинги не идут. В чем трабл?.. помогите плиз
никогда не настраивал два ната сам, но читал, что пакеты обрабатываются файрволами последовательно - то есть если ipfw пакет запретил, то до ipnat ничего не доходитps. а чем Вам не угодил ipfw_nat?
не стал разбираться со всем, что написали, потому что сразу засмущало>Как только я делаю firewall_type="/etc/ipfw"
вы не путаете firewall_script и firewall_type ?
> не стал разбираться со всем, что написали, потому что сразу засмущало
>>Как только я делаю firewall_type="/etc/ipfw"
> вы не путаете firewall_script и firewall_type ?и еще: это весь скрипт с правилами ? если так, то там очень многого не хватает =)
>> не стал разбираться со всем, что написали, потому что сразу засмущало
>>>Как только я делаю firewall_type="/etc/ipfw"
>> вы не путаете firewall_script и firewall_type ?
> и еще: это весь скрипт с правилами ? если так, то там
> очень многого не хватает =)не путаю firewall_script и firewall_type... у меня firewall_type
Чего не хватает в правилах?
>>> не стал разбираться со всем, что написали, потому что сразу засмущало
>>>>Как только я делаю firewall_type="/etc/ipfw"
>>> вы не путаете firewall_script и firewall_type ?
>> и еще: это весь скрипт с правилами ? если так, то там
>> очень многого не хватает =)
> не путаю firewall_script и firewall_type... у меня firewall_type
> Чего не хватает в правилах?ну раз намеки не проходят:
1.
firewall_script - скрипт, который будет выполнен для старта и заполнения правилами файрвола
firewall_type - название секции с правилами в стандартном скрипте rc.firewall2. После того как поправите и введете свои правила, которые привели тут, сделайте вывод ipwf show или ipfw list, посмотрите набор правил и
-представьте себе путь пакета icmp к адресату и обратно (в вашем варианте нет правил для пакетов от вас, кроме общезапрещающего)
-представьте себе поведение TCP соединения, если кроме состояния setup по направлению к вам вы ничего не рассматриваете (где обработка состояния established ?)
-как пакеты попадут в какой-либо NAT ?
>[оверквотинг удален]
> 1.
> firewall_script - скрипт, который будет выполнен для старта и заполнения правилами файрвола
> firewall_type - название секции с правилами в стандартном скрипте rc.firewall
> 2. После того как поправите и введете свои правила, которые привели тут,
> сделайте вывод ipwf show или ipfw list, посмотрите набор правил и
> -представьте себе путь пакета icmp к адресату и обратно (в вашем варианте
> нет правил для пакетов от вас, кроме общезапрещающего)
> -представьте себе поведение TCP соединения, если кроме состояния setup по направлению к
> вам вы ничего не рассматриваете (где обработка состояния established ?)
> -как пакеты попадут в какой-либо NAT ?Все равно не получается. Сейчас в /etc/rc.conf
ifconfig_re0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig rl0 ether 00:00:00:00:00:00
ifconfig_rl0="inet 193.x.x.x netmask 255.255.255.192"
defaultrouter="193.x.x.x"
gateway_enable="YES"ipnat_enable="yes"
ipnat_rules="/etc/ipnat.rules"
firewall_enable="YES"
firewall_script="/etc/ipfw.script"Файл /etc/ipfw.script с правами 755
#!/bin/sh
# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правилFwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="rl0" # внешний интерфейс
LanIn="re0" # внутренний интерфейс
IpOut="193.х.х.х" # внешний IP адрес машины
IpIn="192.168.0.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.0.0" # Внутренняя сеть# Сбрасываем все правила:
${FwCMD} -f flush# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# Открываем порт 1723 для MPD5
${FwCMD} add allow tcp from any to ${IpOut} 1723 via ${LanOut}# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
Файл /etc/ipnat.rulesmap rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 0.0.0.0/32
rdr re0 0/0 port 80 -> 127.0.0.1 port 3128
Не работает!!!! Хотя есть правила ${FwCMD} add allow tcp from any to any established и ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}# ipfw list
00100 check-state
00200 allow ip from any to any via lo0
00300 deny ip from any to 127.0.0.0/8
00400 deny ip from 127.0.0.0/8 to any
00500 deny ip from any to 10.0.0.0/8 in via rl0
00600 deny ip from any to 172.16.0.0/12 in via rl0
00700 deny ip from any to 192.168.0.0/16 in via rl0
00800 deny ip from any to 0.0.0.0/8 in via rl0
00900 deny ip from any to 169.254.0.0/16 in via rl0
01000 deny ip from any to 240.0.0.0/4 in via rl0
01100 deny icmp from any to any frag
01200 deny log logamount 1000 icmp from any to 255.255.255.255 in via rl0
01300 deny log logamount 1000 icmp from any to 255.255.255.255 out via rl0
01400 deny ip from 10.0.0.0/8 to any out via rl0
01500 deny ip from 172.16.0.0/12 to any out via rl0
01600 deny ip from 192.168.0.0/16 to any out via rl0
01700 deny ip from 0.0.0.0/8 to any out via rl0
01800 deny ip from 169.254.0.0/16 to any out via rl0
01900 deny ip from 224.0.0.0/4 to any out via rl0
02000 deny ip from 240.0.0.0/4 to any out via rl0
02100 allow tcp from any to any established
02200 allow ip from 193.x.x.x to any out xmit rl0
02300 allow icmp from any to any icmptypes 0,8,11
02400 allow tcp from any to 193.x.x.x dst-port 80 via rl0
02500 allow tcp from any to 193.x.x.x dst-port 14441 via rl0
02600 allow tcp from any to 193.x.x.x dst-port 1723 via rl0
02700 allow tcp from any to any via re0
02800 allow udp from any to any via re0
02900 allow icmp from any to any via re0
03000 deny ip from any to any
65535 allow ip from any to any
1.остался неотвеченным вопрос "как пакеты попадут в NAT" без правил divert?
2. чтобы отслеживать сложые/спорные для понимания ситуации сделайте правило логирования в всезпрещающем 3000 правиле (или другом, с подходящими параметрами), взведитеsysctl net.inet.ip.fw.verbose=1
и ловите:
tail -f /var/log/security
что проскакивает это самое логирующее правило.
3. обрабатывать established начали, при этом не ограничили остальные TCP состоянием setup. Работать конечно будет это место, но технически через файрвол будут пролезать пакеты TCP на отстутствующие соединения, лишний раз напрягая стек tcp/ip.
> 1.остался неотвеченным вопрос "как пакеты попадут в NAT" без правил divert?
> 2. чтобы отслеживать сложые/спорные для понимания ситуации сделайте правило логирования
> в всезпрещающем 3000 правиле (или другом, с подходящими параметрами), взведите
> sysctl net.inet.ip.fw.verbose=1
> и ловите:
> tail -f /var/log/security
> что проскакивает это самое логирующее правило.
> 3. обрабатывать established начали, при этом не ограничили остальные TCP состоянием setup.
> Работать конечно будет это место, но технически через файрвол будут пролезать
> пакеты TCP на отстутствующие соединения, лишний раз напрягая стек tcp/ip.А ядро долно быть собрано с options IPDIVERT ???
Я добавил
${FwCMD} add divert 199 all from any to any via ${LanOut} in
${FwCMD} add divert 199 all from any to any via ${LanOut} outНо ipfw ругается
ipfw: getsockopt(IP_FW_ADD): Invalid argument
ipfw: getsockopt(IP_FW_ADD): Invalid argument
> А ядро долно быть собрано с options IPDIVERT ???
> Я добавил
> ${FwCMD} add divert 199 all from any to any via ${LanOut} in
> ${FwCMD} add divert 199 all from any to any via ${LanOut} out
> Но ipfw ругается
> ipfw: getsockopt(IP_FW_ADD): Invalid argument
> ipfw: getsockopt(IP_FW_ADD): Invalid argumentили собрано или догружать модуль ipdivert.ko
не совсем понятно куда вы добавили правило, потому что отправлять на нат надо в определенном месте, согласующимся с логикой задачи: загляните в типовые сценарии в rc.firewall, где идет вставка NAT заворота.