forum.opennet.ru - "ipfw freebsd 4.2 и админ в лыжах на асфальте" (25)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw freebsd 4.2 и админ в лыжах на асфальте"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw freebsd 4.2 и админ в лыжах на асфальте"
Сообщение от klim on 29-Ноя-01, 14:40 (MSK)
Понимаю что этот вопрос всех достал но я сам победить не могу (хотя чувствую что ответ где то рядом) вот и решил обратится с всезнающему All проблема такая, есть сервер на нем стоят route dhcpd squid sendmail ipfw (вообщем джентельменский набор) но правила 110 и 120 меня в принципе не устраивают потому как это не шлюз а хрен знает чего получается а если запретить эти правила тот route начинает судорожно дергатся и писать, что пермишн денайд (нет доступа к броадкасту), и ко всему прочему (если 110 и 120 не закоментарены) получается что из вне я могу пинговать внутреннюю сетку что не очень желательно. Помогите советом как сделать так что бы все пользователи могли ходить куда угодно если в инет то через squid а из вне не могли ничего кроме пинга на внешний адрес настройки следующие xl0 это внешний интерфейс (смотрит на интернет) rl0 это внутренний <br>ipfw add 100 pass all from any to any via lo0 <br>ipfw add 110 pass all from any to any via xl0 <br>ipfw add 120 pass all from any to any via rl0 <br>ipfw add 130 pass icmp from any to any <br>ipfw add 140 deny icmp from any to any frag <br>ipfw add 150 pass tcp from any to any 25 <br>ipfw add 160 pass tcp from any 25 to any <br>ipfw add 170 pass udp from any to any 53 <br>ipfw add 180 pass udp from any 53 to any <br>ipfw add 190 pass udp from any to any 110 <br>ipfw add 200 pass udp from any 110 to any <br>ipfw add 210 fwd $squid,3128 tcp from 192.168.42.101 to 0.0.0.0/0 80
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, Paul, 00:15 , 30-Ноя-01, (1)
- RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, Paul, 00:19 , 30-Ноя-01, (2)
- RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, edc, 18:25 , 30-Ноя-01, (3)
  - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 10:13 , 03-Дек-01, (4)
    - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, grom, 23:06 , 03-Дек-01, (5)
      - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 09:28 , 04-Дек-01, (6)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, handful, 15:03 , 04-Дек-01, (7)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 16:22 , 04-Дек-01, (8)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, handful, 19:08 , 04-Дек-01, (9)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 09:13 , 05-Дек-01, (12)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, handful, 16:43 , 05-Дек-01, (14)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 09:10 , 07-Дек-01, (18)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 13:17 , 05-Дек-01, (13)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, handful, 16:46 , 05-Дек-01, (15)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 09:28 , 06-Дек-01, (16)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, MF_FLIP, 16:29 , 18-Дек-01, (23)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, grom, 20:31 , 04-Дек-01, (10)
        
        RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, klim, 09:10 , 05-Дек-01, (11)
RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, mrrc, 21:54 , 06-Дек-01, (17)
- RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, Nuk, 12:47 , 07-Дек-01, (19)
- RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, Nuk, 12:49 , 07-Дек-01, (20)
  - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, mrrc, 18:48 , 07-Дек-01, (21)
    - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, mrrc, 16:09 , 09-Дек-01, (22)
  - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, MF_FLIP, 16:38 , 18-Дек-01, (24)
    - RE: ipfw freebsd 4.2 и админ в лыжах на асфальте, freebsd_q, 16:45 , 26-Авг-02, (25)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от Paul on 30-Ноя-01, 00:15  (MSK)

какой из интерфейсов глядит наружу?
общее: все закрываешь, ставишь НАТ на форвард подключений к сквиду, потом по логам смотришь чего можно открыть. я например ICMP вообще зарэзал на DMZ. и ничо, работает хоть бы хрен.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от Paul on 30-Ноя-01, 00:19  (MSK)

тьфу, не заметил про внешний интерфейс =)
ну суть от этого не меняется. =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от edc on 30-Ноя-01, 18:25  (MSK)

>какой из интерфейсов глядит наружу?
>
>общее: все закрываешь, ставишь НАТ на
>форвард подключений к сквиду, потом
>по логам смотришь чего можно
>открыть. я например ICMP вообще
>зарэзал на DMZ. и ничо,
>работает хоть бы хрен.
Т.е ICMP сообщение Host unreachable не доходит до твоих серверов? Ну ты крут.... ;))

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 03-Дек-01, 10:13  (MSK)

>>какой из интерфейсов глядит наружу?
>>
>>общее: все закрываешь, ставишь НАТ на
>>форвард подключений к сквиду, потом
>>по логам смотришь чего можно
>>открыть. я например ICMP вообще
>>зарэзал на DMZ. и ничо,
>>работает хоть бы хрен.
>Т.е ICMP сообщение Host unreachable не
>доходит до твоих серверов? Ну
>ты крут.... ;))
Согласен с EDC icmp должон быть, но все же хотелось узнать как сделать (все зарезать это не решение)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от grom on 03-Дек-01, 23:06  (MSK)

>>>какой из интерфейсов глядит наружу?
>>>
>>>общее: все закрываешь, ставишь НАТ на
>>>форвард подключений к сквиду, потом
>>>по логам смотришь чего можно
>>>открыть. я например ICMP вообще
>>>зарэзал на DMZ. и ничо,
>>>работает хоть бы хрен.
>>Т.е ICMP сообщение Host unreachable не
>>доходит до твоих серверов? Ну
>>ты крут.... ;))
>Согласен с EDC icmp должон быть,
>но все же хотелось узнать
>как сделать (все зарезать это
>не решение)
man natd
пара бессоных ночей - и все работает.
у тебя должны висеть правила перекодировки
divert ip ...........
и в таклм же духе
иначе бяда. :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 04-Дек-01, 09:28  (MSK)

>>>>какой из интерфейсов глядит наружу?
>>>>
>>>>общее: все закрываешь, ставишь НАТ на
>>>>форвард подключений к сквиду, потом
>>>>по логам смотришь чего можно
>>>>открыть. я например ICMP вообще
>>>>зарэзал на DMZ. и ничо,
>>>>работает хоть бы хрен.
>>>Т.е ICMP сообщение Host unreachable не
>>>доходит до твоих серверов? Ну
>>>ты крут.... ;))
>>Согласен с EDC icmp должон быть,
>>но все же хотелось узнать
>>как сделать (все зарезать это
>>не решение)
>man natd
>пара бессоных ночей - и все
>работает.
>у тебя должны висеть правила перекодировки
>
>divert ip ...........
>и в таклм же духе
>иначе бяда. :)
В соответстви с имеющимися у меня доками (в том числе и ман по ipfw) могу сказать что сделать это можно и без ДИВЕРТА но как сказать не могу (в манах описан самый простой пример (все выходят через СКВИД и никто не может войти во внутреннюя сеть,(что в принципе и нужно) но с этими правилами опять же ругается РОУТ) а редактирование этого примера под свои нужды приводит в написанию совершенно новых правил т.е. добавлением правила РАЗРЕШЕННО ВСЕ ПО ОБОИМ ИНТЕРФЕЙСАМ)
Я конечно не против ДИВЕРТА но лишнего не охота ставить (т.е. зачем добавлять в ядро ДИВЕРТ когда это можно сделать ФОРВАРДОМ) вот в чем вопрос
С другой стороны если н найду ответа придется ставить ДИВЕРТ - подождем

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от handful on 04-Дек-01, 15:03  (MSK)

[skipped]
без divert'a ты сможешь выпустить только http-траффик (в твоем случае) через squid. и то https работать не будет :) все остальное будет работать только в пределах внутренней сети.
>В соответстви с имеющимися у меня
>доками (в том числе и
>ман по ipfw) могу сказать
>что сделать это можно и
>без ДИВЕРТА но как сказать
>не могу (в манах описан
>самый простой пример (все выходят
>через СКВИД и никто не
>может войти во внутреннюя сеть,(что
>в принципе и нужно) но
>с этими правилами опять же
>ругается РОУТ) а редактирование этого
>примера под свои нужды приводит
>в написанию совершенно новых правил
>т.е. добавлением правила РАЗРЕШЕННО ВСЕ
>ПО ОБОИМ ИНТЕРФЕЙСАМ)
>Я конечно не против ДИВЕРТА но
>лишнего не охота ставить (т.е.
>зачем добавлять в ядро ДИВЕРТ
>когда это можно сделать ФОРВАРДОМ)
>вот в чем вопрос
>С другой стороны если н найду
>ответа придется ставить ДИВЕРТ -
>подождем

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 04-Дек-01, 16:22  (MSK)

>[skipped]
>
>без divert'a ты сможешь выпустить только
>http-траффик (в твоем случае) через
>squid. и то https работать
>не будет :) все остальное
>будет работать только в пределах
>внутренней сети.
>
Мне  ничего кроме http больше не нужно (только сайты - я так подошел к проблеме уменьшения траффика :-)))), вопрос в обепспечении безопасности.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от handful on 04-Дек-01, 19:08  (MSK)

[skipped]
в таком случае правило для forward надо ставить первым. в том примере, что у тебя, пакет до этого правила не дойдет. обрати внимание на https. там дополнительные телодвижения надо делать. опять же с divert'ом :)
>Мне  ничего кроме http больше
>не нужно (только сайты -
>я так подошел к проблеме
>уменьшения траффика :-)))), вопрос в
>обепспечении безопасности.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 05-Дек-01, 09:13  (MSK)

>[skipped]
>
>в таком случае правило для forward
>надо ставить первым. в том
>примере, что у тебя, пакет
>до этого правила не дойдет.
>обрати внимание на https. там
>дополнительные телодвижения надо делать. опять
>же с divert'ом :)
>
Блин убедили - ставлю divert
P.S. насчет пакет не дойдет до форвард правила - ДОХОДИТ

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от handful on 05-Дек-01, 16:43  (MSK)

не дойдет и не доходит. man ipfw читал на предмет allow? как ты видишь, что пакет до правила доходит?
>>[skipped]
>>
>>в таком случае правило для forward
>>надо ставить первым. в том
>>примере, что у тебя, пакет
>>до этого правила не дойдет.
>>обрати внимание на https. там
>>дополнительные телодвижения надо делать. опять
>>же с divert'ом :)
>>
>Блин убедили - ставлю divert
>P.S. насчет пакет не дойдет до
>форвард правила - ДОХОДИТ

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 07-Дек-01, 09:10  (MSK)

>не дойдет и не доходит. man
>ipfw читал на предмет allow?
>как ты видишь, что пакет
>до правила доходит?
>
Ес-но  если пакет не доходит по правила форвард то инета у моих юзеров не будет а он ЕСТЬ - правило форвард РАБОТАЕТ!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 05-Дек-01, 13:17  (MSK)

Поставил divert+natd - работает, теперь собственно вопрос как считать (к примеру у меня считает squid вернее создает лог, а считает sarg), а теперь получается, что я в обход squid'а хожу и соответственно учет не ведется.
ВНИМАНИЕ ВОПРОС:
Можно ли как нибудь пускать народ через squid методом divert+natd? (сам еле понял что написал, или не понял?!)

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от handful on 05-Дек-01, 16:46  (MSK)

count'ом ipfw. через некоторые промежутки времени снимать показания и делать какие-то действия. скрипт надо писать.
>Поставил divert+natd - работает, теперь собственно
>вопрос как считать (к примеру
>у меня считает squid вернее
>создает лог, а считает sarg),
>а теперь получается, что я
>в обход squid'а хожу и
>соответственно учет не ведется.
>ВНИМАНИЕ ВОПРОС:
>Можно ли как нибудь пускать народ
>через squid методом divert+natd? (сам
>еле понял что написал, или
>не понял?!)

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 06-Дек-01, 09:28  (MSK)

>count'ом ipfw. через некоторые промежутки времени
>снимать показания и делать какие-то
>действия. скрипт надо писать.
>
Так не охота считать через count (в squid более обширная информация - кто куда ходил, кто чего смотрел, кто сколько времени просидел в инете), можно ли прикрутить squid к natd, то есть чтобы divert шел на squid?
Если можно то как это указать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от MF_FLIP on 18-Дек-01, 16:29  (MSK)

>Поставил divert+natd - работает, теперь собственно
>вопрос как считать (к примеру
>у меня считает squid вернее
>создает лог, а считает sarg),
>а теперь получается, что я
>в обход squid'а хожу и
>соответственно учет не ведется.
>ВНИМАНИЕ ВОПРОС:
>Можно ли как нибудь пускать народ
>через squid методом divert+natd? (сам
>еле понял что написал, или
>не понял?!)
у меня стоит nat c divert'ом, а считается (лог айпи, сюды, туды, тотал) все ipfm

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от grom on 04-Дек-01, 20:31  (MSK)

>>[skipped]
>>
>>без divert'a ты сможешь выпустить только
>>http-траффик (в твоем случае) через
>>squid. и то https работать
>>не будет :) все остальное
>>будет работать только в пределах
>>внутренней сети.
>>
>Мне  ничего кроме http больше
>не нужно (только сайты -
>я так подошел к проблеме
>уменьшения траффика :-)))), вопрос в
>обепспечении безопасности.
странные у тебя представления об уменьшении трафика :))))
я бы тогда им оставила только почту :)))
и попинала антивирусы для безопасности:)
а еще сдесь в форуме была интересная мысль запретить получать письма с приаттаченными *.exe и пр. Если ее развить - экономия трафика налицо :))))

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от klim on 05-Дек-01, 09:10  (MSK)

>>>[skipped]
>>>
>>>без divert'a ты сможешь выпустить только
>>>http-траффик (в твоем случае) через
>>>squid. и то https работать
>>>не будет :) все остальное
>>>будет работать только в пределах
>>>внутренней сети.
>>>
>>Мне  ничего кроме http больше
>>не нужно (только сайты -
>>я так подошел к проблеме
>>уменьшения траффика :-)))), вопрос в
>>обепспечении безопасности.
>странные у тебя представления об уменьшении
>трафика :))))
>я бы тогда им оставила только
>почту :)))
>и попинала антивирусы для безопасности:)
>а еще сдесь в форуме была
>интересная мысль запретить получать письма
>с приаттаченными *.exe и пр.
>Если ее развить - экономия
>трафика налицо :))))
Во первых такие предвставления какие есть
Во вторых  в нашей конторе нет нужды в скачивании файлов
В третьих почта меня в плане безопасности меньше всего волнует (мне нужно обеспечить безопасность сервера а не пользователей)

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от mrrc on 06-Дек-01, 21:54  (MSK)

Как вот при 65535 правиле deny ip from any to any пользоваться ftp непосредственно с самого сервера, ftp -p или pftp не прокатывают, подключаешься без проблем, но просмотреть содержимое директории невозможно, Permission denied пишет.
Подключиться к самому серверу по ftp получается ес-но только в пассивном режиме, получилось то собственно только из Windows Commander-а, не из броузера, не из CuteFTP номер не прошел..
Также хотелось бы пользоваться командой fetch на сервере и делать traceroute, что сейчас также невозможно.
Навскидку накидал следующие правила:
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
${fwcmd} add 01000 allow tcp from any to any 20,21,22,25,53,80,110,143
${fwcmd} add 02000 allow tcp from any 20,21,22,25,53,80,110,143 to any
${fwcmd} add 02100 pass udp from any to any 53
${fwcmd} add 02200 pass udp from any 53 to any
${fwcmd} add 02300 pass icmp from any to any
${fwcmd} add 02400 deny icmp from any to any frag

FreeBSD 4.4 + ipfw

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от Nuk on 07-Дек-01, 12:47  (MSK)

>Как вот при 65535 правиле deny
>ip from any to any
>пользоваться ftp непосредственно с самого
>сервера, ftp -p или pftp
>не прокатывают, подключаешься без проблем,
>но просмотреть содержимое директории невозможно,
>Permission denied пишет.
>
>Подключ%

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от Nuk on 07-Дек-01, 12:49  (MSK)

>Как вот при 65535 правиле deny
>ip from any to any
>пользоваться ftp непосредственно с самого
>сервера, ftp -p или pftp
>не прокатывают, подключаешься без проблем,
>но просмотреть содержимое директории невозможно,
>Permission denied пишет.
>
>Подключиться к самому серверу по ftp
>получается ес-но только в пассивном
>режиме, получилось то собственно только
>из Windows Commander-а, не из
>броузера, не из CuteFTP номер
>не прошел..
>
>Также хотелось бы пользоваться командой fetch
>на сервере и делать traceroute,
>что сейчас также невозможно.
>
>Навскидку накидал следующие правила:
>
>${fwcmd} add 100 pass all from
>any to any via lo0
>
>${fwcmd} add 200 deny all from
>any to 127.0.0.0/8
>${fwcmd} add 300 deny ip from
>127.0.0.0/8 to any
>
>${fwcmd} add 01000 allow tcp from
>any to any 20,21,22,25,53,80,110,143
>${fwcmd} add 02000 allow tcp from
>any 20,21,22,25,53,80,110,143 to any
>
>${fwcmd} add 02100 pass udp from
>any to any 53
>${fwcmd} add 02200 pass udp from
>any 53 to any
>
>${fwcmd} add 02300 pass icmp from
>any to any
>${fwcmd} add 02400 deny icmp from
>any to any frag
>
>
>
>FreeBSD 4.4 + ipfw
to: mmrc
открой интерфейсы твоего сервера
to: all
коль вы победили Ipfw то...
никаких скриптов писать ненадо для подсчёта трафика
идём и берём
http:/%

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от mrrc on 07-Дек-01, 18:48  (MSK)

dc0 - интерфейс, смотрящий наружу.
rl0 - интерфейс, смотрящий вовнутрь.

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от mrrc on 09-Дек-01, 16:09  (MSK)

up

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от MF_FLIP on 18-Дек-01, 16:38  (MSK)

>to: all
>коль вы победили Ipfw то...
>никаких скриптов писать ненадо для подсчёта
>трафика
>идём и берём
>http:/%
а по подробней можно, если не сложно

Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"

Сообщение от freebsd_q on 26-Авг-02, 16:45  (MSK)

Я имею одну интернетовскую связь, и я хочу дать это 2 различных организации но один из них должна иметь гарантироваться скорость, остальное скорость второму организации
ipfw add pipe 10 tcp from 192.168.10.0/24 to any
ipfw pipe 10 config bw 256Kbit/s
ipfw add pipe 20 tcp from 192.168.20.0/24 to any
ipfw pipe 20 config bw 128Kbit/s
но я хочу дать pipe 20 высоки приоритет, но я не знаю,
как это возможно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
Сообщение от Paul on 30-Ноя-01, 00:15 (MSK)
какой из интерфейсов глядит наружу? общее: все закрываешь, ставишь НАТ на форвард подключений к сквиду, потом по логам смотришь чего можно открыть. я например ICMP вообще зарэзал на DMZ. и ничо, работает хоть бы хрен.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от Paul on 30-Ноя-01, 00:19 (MSK)
	тьфу, не заметил про внешний интерфейс =) ну суть от этого не меняется. =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от edc on 30-Ноя-01, 18:25 (MSK)
	>какой из интерфейсов глядит наружу? > >общее: все закрываешь, ставишь НАТ на >форвард подключений к сквиду, потом >по логам смотришь чего можно >открыть. я например ICMP вообще >зарэзал на DMZ. и ничо, >работает хоть бы хрен. Т.е ICMP сообщение Host unreachable не доходит до твоих серверов? Ну ты крут.... ;))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 03-Дек-01, 10:13 (MSK)
	>>какой из интерфейсов глядит наружу? >> >>общее: все закрываешь, ставишь НАТ на >>форвард подключений к сквиду, потом >>по логам смотришь чего можно >>открыть. я например ICMP вообще >>зарэзал на DMZ. и ничо, >>работает хоть бы хрен. >Т.е ICMP сообщение Host unreachable не >доходит до твоих серверов? Ну >ты крут.... ;)) Согласен с EDC icmp должон быть, но все же хотелось узнать как сделать (все зарезать это не решение)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от grom on 03-Дек-01, 23:06 (MSK)
	>>>какой из интерфейсов глядит наружу? >>> >>>общее: все закрываешь, ставишь НАТ на >>>форвард подключений к сквиду, потом >>>по логам смотришь чего можно >>>открыть. я например ICMP вообще >>>зарэзал на DMZ. и ничо, >>>работает хоть бы хрен. >>Т.е ICMP сообщение Host unreachable не >>доходит до твоих серверов? Ну >>ты крут.... ;)) >Согласен с EDC icmp должон быть, >но все же хотелось узнать >как сделать (все зарезать это >не решение) man natd пара бессоных ночей - и все работает. у тебя должны висеть правила перекодировки divert ip ........... и в таклм же духе иначе бяда. :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 04-Дек-01, 09:28 (MSK)
	>>>>какой из интерфейсов глядит наружу? >>>> >>>>общее: все закрываешь, ставишь НАТ на >>>>форвард подключений к сквиду, потом >>>>по логам смотришь чего можно >>>>открыть. я например ICMP вообще >>>>зарэзал на DMZ. и ничо, >>>>работает хоть бы хрен. >>>Т.е ICMP сообщение Host unreachable не >>>доходит до твоих серверов? Ну >>>ты крут.... ;)) >>Согласен с EDC icmp должон быть, >>но все же хотелось узнать >>как сделать (все зарезать это >>не решение) >man natd >пара бессоных ночей - и все >работает. >у тебя должны висеть правила перекодировки > >divert ip ........... >и в таклм же духе >иначе бяда. :) В соответстви с имеющимися у меня доками (в том числе и ман по ipfw) могу сказать что сделать это можно и без ДИВЕРТА но как сказать не могу (в манах описан самый простой пример (все выходят через СКВИД и никто не может войти во внутреннюя сеть,(что в принципе и нужно) но с этими правилами опять же ругается РОУТ) а редактирование этого примера под свои нужды приводит в написанию совершенно новых правил т.е. добавлением правила РАЗРЕШЕННО ВСЕ ПО ОБОИМ ИНТЕРФЕЙСАМ) Я конечно не против ДИВЕРТА но лишнего не охота ставить (т.е. зачем добавлять в ядро ДИВЕРТ когда это можно сделать ФОРВАРДОМ) вот в чем вопрос С другой стороны если н найду ответа придется ставить ДИВЕРТ - подождем
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от handful on 04-Дек-01, 15:03 (MSK)
	[skipped] без divert'a ты сможешь выпустить только http-траффик (в твоем случае) через squid. и то https работать не будет :) все остальное будет работать только в пределах внутренней сети. >В соответстви с имеющимися у меня >доками (в том числе и >ман по ipfw) могу сказать >что сделать это можно и >без ДИВЕРТА но как сказать >не могу (в манах описан >самый простой пример (все выходят >через СКВИД и никто не >может войти во внутреннюя сеть,(что >в принципе и нужно) но >с этими правилами опять же >ругается РОУТ) а редактирование этого >примера под свои нужды приводит >в написанию совершенно новых правил >т.е. добавлением правила РАЗРЕШЕННО ВСЕ >ПО ОБОИМ ИНТЕРФЕЙСАМ) >Я конечно не против ДИВЕРТА но >лишнего не охота ставить (т.е. >зачем добавлять в ядро ДИВЕРТ >когда это можно сделать ФОРВАРДОМ) >вот в чем вопрос >С другой стороны если н найду >ответа придется ставить ДИВЕРТ - >подождем
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 04-Дек-01, 16:22 (MSK)
	>[skipped] > >без divert'a ты сможешь выпустить только >http-траффик (в твоем случае) через >squid. и то https работать >не будет :) все остальное >будет работать только в пределах >внутренней сети. > Мне ничего кроме http больше не нужно (только сайты - я так подошел к проблеме уменьшения траффика :-)))), вопрос в обепспечении безопасности.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от handful on 04-Дек-01, 19:08 (MSK)
	[skipped] в таком случае правило для forward надо ставить первым. в том примере, что у тебя, пакет до этого правила не дойдет. обрати внимание на https. там дополнительные телодвижения надо делать. опять же с divert'ом :) >Мне ничего кроме http больше >не нужно (только сайты - >я так подошел к проблеме >уменьшения траффика :-)))), вопрос в >обепспечении безопасности.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 05-Дек-01, 09:13 (MSK)
	>[skipped] > >в таком случае правило для forward >надо ставить первым. в том >примере, что у тебя, пакет >до этого правила не дойдет. >обрати внимание на https. там >дополнительные телодвижения надо делать. опять >же с divert'ом :) > Блин убедили - ставлю divert P.S. насчет пакет не дойдет до форвард правила - ДОХОДИТ
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от handful on 05-Дек-01, 16:43 (MSK)
	не дойдет и не доходит. man ipfw читал на предмет allow? как ты видишь, что пакет до правила доходит? >>[skipped] >> >>в таком случае правило для forward >>надо ставить первым. в том >>примере, что у тебя, пакет >>до этого правила не дойдет. >>обрати внимание на https. там >>дополнительные телодвижения надо делать. опять >>же с divert'ом :) >> >Блин убедили - ставлю divert >P.S. насчет пакет не дойдет до >форвард правила - ДОХОДИТ
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 07-Дек-01, 09:10 (MSK)
	>не дойдет и не доходит. man >ipfw читал на предмет allow? >как ты видишь, что пакет >до правила доходит? > Ес-но если пакет не доходит по правила форвард то инета у моих юзеров не будет а он ЕСТЬ - правило форвард РАБОТАЕТ!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 05-Дек-01, 13:17 (MSK)
	Поставил divert+natd - работает, теперь собственно вопрос как считать (к примеру у меня считает squid вернее создает лог, а считает sarg), а теперь получается, что я в обход squid'а хожу и соответственно учет не ведется. ВНИМАНИЕ ВОПРОС: Можно ли как нибудь пускать народ через squid методом divert+natd? (сам еле понял что написал, или не понял?!)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от handful on 05-Дек-01, 16:46 (MSK)
	count'ом ipfw. через некоторые промежутки времени снимать показания и делать какие-то действия. скрипт надо писать. >Поставил divert+natd - работает, теперь собственно >вопрос как считать (к примеру >у меня считает squid вернее >создает лог, а считает sarg), >а теперь получается, что я >в обход squid'а хожу и >соответственно учет не ведется. >ВНИМАНИЕ ВОПРОС: >Можно ли как нибудь пускать народ >через squid методом divert+natd? (сам >еле понял что написал, или >не понял?!)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 06-Дек-01, 09:28 (MSK)
	>count'ом ipfw. через некоторые промежутки времени >снимать показания и делать какие-то >действия. скрипт надо писать. > Так не охота считать через count (в squid более обширная информация - кто куда ходил, кто чего смотрел, кто сколько времени просидел в инете), можно ли прикрутить squid к natd, то есть чтобы divert шел на squid? Если можно то как это указать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от MF_FLIP on 18-Дек-01, 16:29 (MSK)
	>Поставил divert+natd - работает, теперь собственно >вопрос как считать (к примеру >у меня считает squid вернее >создает лог, а считает sarg), >а теперь получается, что я >в обход squid'а хожу и >соответственно учет не ведется. >ВНИМАНИЕ ВОПРОС: >Можно ли как нибудь пускать народ >через squid методом divert+natd? (сам >еле понял что написал, или >не понял?!) у меня стоит nat c divert'ом, а считается (лог айпи, сюды, туды, тотал) все ipfm
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от grom on 04-Дек-01, 20:31 (MSK)
	>>[skipped] >> >>без divert'a ты сможешь выпустить только >>http-траффик (в твоем случае) через >>squid. и то https работать >>не будет :) все остальное >>будет работать только в пределах >>внутренней сети. >> >Мне ничего кроме http больше >не нужно (только сайты - >я так подошел к проблеме >уменьшения траффика :-)))), вопрос в >обепспечении безопасности. странные у тебя представления об уменьшении трафика :)))) я бы тогда им оставила только почту :))) и попинала антивирусы для безопасности:) а еще сдесь в форуме была интересная мысль запретить получать письма с приаттаченными *.exe и пр. Если ее развить - экономия трафика налицо :))))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от klim on 05-Дек-01, 09:10 (MSK)
	>>>[skipped] >>> >>>без divert'a ты сможешь выпустить только >>>http-траффик (в твоем случае) через >>>squid. и то https работать >>>не будет :) все остальное >>>будет работать только в пределах >>>внутренней сети. >>> >>Мне ничего кроме http больше >>не нужно (только сайты - >>я так подошел к проблеме >>уменьшения траффика :-)))), вопрос в >>обепспечении безопасности. >странные у тебя представления об уменьшении >трафика :)))) >я бы тогда им оставила только >почту :))) >и попинала антивирусы для безопасности:) >а еще сдесь в форуме была >интересная мысль запретить получать письма >с приаттаченными *.exe и пр. >Если ее развить - экономия >трафика налицо :)))) Во первых такие предвставления какие есть Во вторых в нашей конторе нет нужды в скачивании файлов В третьих почта меня в плане безопасности меньше всего волнует (мне нужно обеспечить безопасность сервера а не пользователей)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

17. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
Сообщение от mrrc on 06-Дек-01, 21:54 (MSK)
Как вот при 65535 правиле deny ip from any to any пользоваться ftp непосредственно с самого сервера, ftp -p или pftp не прокатывают, подключаешься без проблем, но просмотреть содержимое директории невозможно, Permission denied пишет. Подключиться к самому серверу по ftp получается ес-но только в пассивном режиме, получилось то собственно только из Windows Commander-а, не из броузера, не из CuteFTP номер не прошел.. Также хотелось бы пользоваться командой fetch на сервере и делать traceroute, что сейчас также невозможно. Навскидку накидал следующие правила: ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any ${fwcmd} add 01000 allow tcp from any to any 20,21,22,25,53,80,110,143 ${fwcmd} add 02000 allow tcp from any 20,21,22,25,53,80,110,143 to any ${fwcmd} add 02100 pass udp from any to any 53 ${fwcmd} add 02200 pass udp from any 53 to any ${fwcmd} add 02300 pass icmp from any to any ${fwcmd} add 02400 deny icmp from any to any frag FreeBSD 4.4 + ipfw
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от Nuk on 07-Дек-01, 12:47 (MSK)
	>Как вот при 65535 правиле deny >ip from any to any >пользоваться ftp непосредственно с самого >сервера, ftp -p или pftp >не прокатывают, подключаешься без проблем, >но просмотреть содержимое директории невозможно, >Permission denied пишет. > >Подключ%
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от Nuk on 07-Дек-01, 12:49 (MSK)
	>Как вот при 65535 правиле deny >ip from any to any >пользоваться ftp непосредственно с самого >сервера, ftp -p или pftp >не прокатывают, подключаешься без проблем, >но просмотреть содержимое директории невозможно, >Permission denied пишет. > >Подключиться к самому серверу по ftp >получается ес-но только в пассивном >режиме, получилось то собственно только >из Windows Commander-а, не из >броузера, не из CuteFTP номер >не прошел.. > >Также хотелось бы пользоваться командой fetch >на сервере и делать traceroute, >что сейчас также невозможно. > >Навскидку накидал следующие правила: > >${fwcmd} add 100 pass all from >any to any via lo0 > >${fwcmd} add 200 deny all from >any to 127.0.0.0/8 >${fwcmd} add 300 deny ip from >127.0.0.0/8 to any > >${fwcmd} add 01000 allow tcp from >any to any 20,21,22,25,53,80,110,143 >${fwcmd} add 02000 allow tcp from >any 20,21,22,25,53,80,110,143 to any > >${fwcmd} add 02100 pass udp from >any to any 53 >${fwcmd} add 02200 pass udp from >any 53 to any > >${fwcmd} add 02300 pass icmp from >any to any >${fwcmd} add 02400 deny icmp from >any to any frag > > > >FreeBSD 4.4 + ipfw to: mmrc открой интерфейсы твоего сервера to: all коль вы победили Ipfw то... никаких скриптов писать ненадо для подсчёта трафика идём и берём http:/%
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от mrrc on 07-Дек-01, 18:48 (MSK)
	dc0 - интерфейс, смотрящий наружу. rl0 - интерфейс, смотрящий вовнутрь.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от mrrc on 09-Дек-01, 16:09 (MSK)
	up
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от MF_FLIP on 18-Дек-01, 16:38 (MSK)
	>to: all >коль вы победили Ipfw то... >никаких скриптов писать ненадо для подсчёта >трафика >идём и берём >http:/% а по подробней можно, если не сложно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "RE: ipfw freebsd 4.2 и админ в лыжах на асфальте"
	Сообщение от freebsd_q on 26-Авг-02, 16:45 (MSK)
	Я имею одну интернетовскую связь, и я хочу дать это 2 различных организации но один из них должна иметь гарантироваться скорость, остальное скорость второму организации ipfw add pipe 10 tcp from 192.168.10.0/24 to any ipfw pipe 10 config bw 256Kbit/s ipfw add pipe 20 tcp from 192.168.20.0/24 to any ipfw pipe 20 config bw 128Kbit/s но я хочу дать pipe 20 высоки приоритет, но я не знаю, как это возможно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх