Muff's website forum

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

SMF - Just Installed!

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.

Темы - BaRRagA

Страницы: [1]
1
День добрый, уважаемый muff ! И всем кто сюда заглянет!
Возник следующий вопрос - фаерволл и ядерный нат настроен, всё работает. Конфиг вышел следующий:
#!/bin/sh
ipfw -f flush
cmd="/sbin/ipfw add"
host="82.207.116.2"
pif="ng0"

#Allow localnet
$cmd allow all from any to any via nfe0

$cmd check-state

$cmd allow ip from any to any via lo0
$cmd deny ip from any to 127.0.0.0/8
$cmd deny ip from 127.0.0.0/8 to any

#Bruteblock
$cmd deny ip from me to table\(50\)
$cmd deny ip from table\(50\) to me

###Стучимся напрямую к серверу
#mail
$cmd allow all from any to $host 25

#RDP(проброс redir), ssh
$cmd allow all from any to $host 45000,22

#ICMP
ipfw add allow icmp from any to me icmptypes 3,8,12 in recv $pif

#Прозрачный прокси
$cmd fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via ng0
#Конфиг ната
ipfw nat 1 config log ip $host same_ports deny_in redirect_port tcp 192.168.0.153:40001 40001
$cmd nat 1 ip from any to any via ng0
$cmd deny ip from any to any

При таком раскладе всё работает, со входящими соединениями на шлюз тоже всё ок, т.к. стоит параметр deny_in в конфиге ната, который рубит неинициированные изнутри соединения. НО получается из локали всем доступны все сервисы инета, включая те же торренты(пусть только на закачку), что есть не очень гут... Во всех мануалах, что есть в инете, представлен именно такой случай.
Подскажите, как правильно допилить конфиг до состояния "Запрещено всё, что не разрешено"? Т.е. разрешить всем к примеру icmp,dns - запросы; ICQ, Skype, ftp, google play и естественно http и https через прозрачный прокси. Остальное прикрыть.

2
Система / Ipfw kernel nat не пробрасывает порт
« : Декабря 17, 2012, 04:00:42 pm »
Привет!
Есть следующая проблемка - ядерный нат не пробрасывает порт. Всё по этому мануалу:
http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/
Вот конфиги:
1. Ядро:#my options
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         DUMMYNET
options         LIBALIAS
options         IPSEC
device          crypto
options         IPSEC_DEBUG
options         IPSEC_FILTERTUNNEL
#######
2.rc.conf:
gateway_enable="YES"
ifconfig_nfe0="inet 192.168.0.209  netmask 255.255.255.0 -rxcsum -txcsum -tso" #inside net
firewall_enable="YES"
firewall_script="/etc/f_test.fw"
firewall_nat_enable="YES"
dummynet_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
#ppp_nat="YES"
ppp_profile="ukrtel"
3. /etc/f_test.fw :
#!/bin/sh
ipfw -f flush
cmd="/sbin/ipfw add"
host="82.207.116.20"
pif="tun0"

$cmd allow ip from any to any via lo0
$cmd deny ip from any to 127.0.0.0/8
$cmd deny ip from 127.0.0.0/8 to any

#Allow localnet
$cmd allow all from any to any via nfe0

ipfw nat 1 config log if tun0 reset same_ports deny_in redirect_port tcp 192.168.0.49:3389 3389
ipfw add nat 1 ip from any to any via tun0
$cmd allow ip from any to any
4. /etc/sysctl.conf :
net.inet.ip.fw.one_pass=1
Сам нат работает стабильно, из локальной сети в инет пускает, всё гут. А вот порт пробросить - ни в какую..

Страницы: [1]

Страница сгенерирована за 0.414 секунд. Запросов: 24.