FreeBSd > Система
Открыть порты в IPFW
klaster:
Проблема такая, у меня имееться рутер на Freebsd 8.1 stable.
С двумя сетевыми картами прописанными в rc.conf
--- Код: ---ifconfig_nfe0="ether 00:xx:xx:xx:xx:xx"
ifconfig_nfe0_alias0="xx.xx.227.101 netmask 255.255.254.0 -rxcsum"
defaultrouter="xx.xx.226.1"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0_alias0="inet 192.168.1.4 netmask 255.255.255.0"
--- Конец кода ---
IPFW
--- Код: ---firewall_enable="YES"
firewall_type="/etc/firewall"
gateway_enable="YES"
firewall_logging="YES"
--- Конец кода ---
Файл firewall :
--- Код: ---add 1010 allow ip from any to any via rl0
add 1020 deny ip from any to 192.168.0.0/16 in recv nfe0
add 1030 deny ip from 192.168.0.0/16 to any in recv nfe0
add 1040 deny ip from any to 172.16.0.0/12 in recv nfe0
add 1050 deny ip from 172.16.0.0/12 to any in recv nfe0
add 1060 deny ip from any to 10.0.0.0/8 in recv nfe0
add 1070 deny ip from 10.0.0.0/8 to any in recv nfe0
add 1080 deny ip from any to 169.254.0.0/16 in recv nfe0
add 1090 deny ip from 169.254.0.0/16 to any in recv nfe0
#nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in
add 10100 nat 1 ip from any to any via nfe0
#add 65534 deny all from any to any // Если открываю это правило интернет падает.
--- Конец кода ---
Мой локальный адресс машинны Win Xp 192.168.1.2. Необходимо открыть порты для всей локальной сети 80, 22, 25. Какое правило необходимо добавить чтоб реализовалась эту проблема ??? (Очень много примеров из нета перепробывал эффект нулевой)
klaster:
Проблема решена, оказалось что в верси 8.1 есть проблемка :
--- Цитировать ---В версии FreeBSD 8.1-RELEASE не работает параметр sysctl one_pass - трафик после прохода через нат возвращается обратно в фаервол. Чтобы избавиться от этой неприятности надо делать правило "allow all from any to any" после правила ната. Эту проблему должны будут исправить в релизе 8.2.
--- Конец цитаты ---
Надо просто сделать
--- Код: ---nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in
add 10100 nat 1 ip from any to any via nfe0
add 10200 allow all from any to any
--- Конец кода ---
Что то такое и будет у вас все порхать а портики пробрасывайте по своему вкусу.
Пример :
--- Код: ---nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881
--- Конец кода ---
Все в одну строчку пишем, этим правилом мы открыли порт 6881 на 1.2.3.4
muff:
По логике вещей - все верно. При попадании правила в НАТ, оно не выводится из файрвола... А следующее правило - запретить вся и все. После НАТа нужно было разрешить обмен внутренней сети.
При наличии НАТа я правила строю обычно так:
1. Обмен на loopback интерфейсе.
2. Разрешаю установленные соединения
3. Разрешаю установку соединений на определенные порты (в случае необходимости - с определенных IP)
4. Запрет установки соединений к интерфейсам маршрутизатора
5. НАТ
6. Разрешение обмена данными локальным сетям.
7. Запрет все и вся...
klaster:
Единственное что хотелось бы, еще портики открывать без проброса. Не подскажите как это сделать.
Допустим :
--- Код: ---nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881
add 10100 nat 1 ip from any to any via nfe0
add 10200 allow all from any to any
--- Конец кода ---
Я хочу не пробрасывать с одного на другой, а просто открывать локальный Ip 192.168.1.10 :443
Не подскажите как это осуществить, а то пока не получаеться.
Пробую так
--- Код: ---add 10300 allow tcp from any 80, 443 to 192.168.1.10
--- Конец кода ---
Чёта не получаеться ???
muff:
Если порт 80 и 443 открыты на IP 192.168.1.10, то правило файрвола должно формулироваться так:
--- Код: ---add allow tcp from any to 192.168.1.10 80,443
--- Конец кода ---
В каком именно месте размещать это правило - смотрите инструкцию выше. Потому что непонятно, где именно в сети размещается айпишник 192.168.1.10.
Навигация
Перейти к полной версии