The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"явное указание ip-адреса локальной сети в ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"явное указание ip-адреса локальной сети в ipfw"  
Сообщение от rdsden email(ok) on 20-Сен-07, 07:09 
В общем настраиваю IPFW на фришке 6.1 в небольшой локальной сети. Интернет идет через адсл модем, внутренняя сеть 192.168.2.0/24, внешняя сеть 192.168.1.0/30. Тип фаервола: что не разрешено, то запрещено.
Столкнулся с такой проблемой: если явно указывать адрес, допустим в правиле 6100, 6200 нужно дать доступ только адресу 192.168.2.10, то правило вступает в силу, но не действует. Работает, только если указать from any to any.

#!/bin/sh -
[Mm][Yy]
## variable
fwcmd="/sbin/ipfw -q"
# internet interface
oif="rl1"
onet="192.168.1.0/30"
oip="192.168.1.2"
# localnet interface
iif="rl0"
inet="192.168.2.0/24"
iip="192.168.2.99"
# drop old rules
${fwcmd} -f flush
# local trafic
${fwcmd} add 50 divert natd ip from any to any via ${oif}
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
# ICMP
${fwcmd} add 1100 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 1200 allow icmp from any to any
# SSH
${fwcmd} add 2100 allow tcp from ${inet} to me 22
${fwcmd} add 2200 allow tcp from me 22 to ${inet}
# DNS
${fwcmd} add 3100 allow udp from any to any 53
${fwcmd} add 3200 allow udp from any 53 to any
${fwcmd} add 3300 allow tcp from any to any 53
${fwcmd} add 3400 allow tcp from any 53 to any
# Web
${fwcmd} add 4100 allow tcp from any to any 80,443
${fwcmd} add 4200 allow tcp from any 80,443 to any
# Mail
${fwcmd} add 5100 allow tcp from any to any 25,110
${fwcmd} add 5200 allow tcp from any 25,110 to any
# ICQ
${fwcmd} add 6100 allow tcp from any to any 5190
${fwcmd} add 6200 allow tcp from any 5190 to any

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DN (ok) on 20-Сен-07, 13:38 
>В общем настраиваю IPFW на фришке 6.1 в небольшой локальной сети. Интернет
>идет через адсл модем, внутренняя сеть 192.168.2.0/24, внешняя сеть 192.168.1.0/30. Тип
>фаервола: что не разрешено, то запрещено.
>Столкнулся с такой проблемой: если явно указывать адрес, допустим в правиле 6100,
>6200 нужно дать доступ только адресу 192.168.2.10, то правило вступает в
>силу, но не действует. Работает, только если указать from any to
>any.
># ICQ
>${fwcmd} add 6100 allow tcp from any to any 5190
>${fwcmd} add 6200 allow tcp from any 5190 to any

А клиент ICQ настроен на порт 5190?
${fwcmd} add 6300 deny log ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от rdsden email(ok) on 20-Сен-07, 13:54 
>А клиент ICQ настроен на порт 5190?
>${fwcmd} add 6300 deny log ip from any to any

Да, про асю я для примера сказал, любое правило если 'from any' поменять на конкретный адрес локальной сети не работает, то есть правило есть в ipfw list, но оно не действует

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DN (ok) on 20-Сен-07, 16:42 
>>А клиент ICQ настроен на порт 5190?
>>${fwcmd} add 6300 deny log ip from any to any
>
>Да, про асю я для примера сказал, любое правило если 'from any'
>поменять на конкретный адрес локальной сети не работает, то есть правило
>есть в ipfw list, но оно не действует

ipfw sh
счетчики пакетов увеличиваются для таких правил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от Basil (??) on 21-Сен-07, 17:18 
а не пробовали вот так?
${fwcmd} add 55 check-state
...........................
${fwcmd} add 6100 allow tcp from 192.168.2.10 to any 5190 keep-state
правило 6200 при этом не нужно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от rdsden email(ok) on 25-Сен-07, 15:27 
>ipfw sh
>счетчики пакетов увеличиваются для таких правил?

Проверил счетчик, видно, что запрос идет, но ответа нету


>а не пробовали вот так?
>${fwcmd} add 55 check-state
>...........................
>${fwcmd} add 6100 allow tcp from 192.168.2.10 to any 5190 keep-state
>правило 6200 при этом не нужно.

Попробовал, все равно не хочет


... может у меня что-то с адресацией в сети.. незнаю даже что и думать..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DN (ok) on 25-Сен-07, 18:08 
>>ipfw sh
>>счетчики пакетов увеличиваются для таких правил?
>
>Проверил счетчик, видно, что запрос идет, но ответа нету

В самом конце правил ipfw
${fwcmd} add log deny ip from any to any
и смотрите лог.

Лучше 50 правило слелать после 300:

${fwcmd} add 400 divert natd ip from any to any via ${oif}

>... может у меня что-то с адресацией в сети.. незнаю даже что
>и думать..

:-) . Sorry не телепат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DenSha (??) on 26-Сен-07, 14:14 
>[оверквотинг удален]
>oif="rl1"
>onet="192.168.1.0/30"
>oip="192.168.1.2"
># localnet interface
>iif="rl0"
>inet="192.168.2.0/24"
>iip="192.168.2.99"
>${fwcmd} add 50 divert natd ip from any to any via ${oif}
>${fwcmd} add 6100 allow tcp from any to any 5190
>${fwcmd} add 6200 allow tcp from any 5190 to any

А доберется ли пакет с адресом отправителя 192.168.2.х до правила 6100 после правила 50? Или всё-таки отправителем будет уже 192.168.1.2?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DenSha (??) on 26-Сен-07, 14:17 

>>${fwcmd} add 50 divert natd ip from any to any via ${oif}

Торможу - "via" не дочитал... :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "явное указание ip-адреса локальной сети в ipfw"  
Сообщение от DenSha (??) on 26-Сен-07, 14:35 
Мысли в слух:
пришёл пакет от 192.168.2.х на iif: правило 50 не срабатывает, правило 6100 сработало - пошёл пакет дальше. Проходит через oif: правило 50 сработало - пошёл дальше пакет, как от 192.168.1.2 и благополучно "продолбил" все правила, вплоть до 65535, там и умер. Не так? Вслух думаю просто...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Вопрос к руководителю форума о хостинге"  
Сообщение от aeroncura email on 03-Апр-08, 22:04 
Простите, может не в тему, но я ищу для своего форума работающий стабильно хостинг.
Вроде Ваш сайт всегда доступен. Если они Вас удовлетворяют, то не дадите ли ссылку на Вашего хостера (мне подойдет и партнерская).
Заранее спасибо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру