The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Блогировка ipfw всего"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 10:50 
Добрый день! Во фряхе я новичок и поэтому обращаюсь сюда, потому что от мануалов различной степени сложности уже плывет перед глазами.
Проблема в чем: хочу-таки настроить ipfw,  но как-то он у меня слишком серьезно относится к своим задачам: Либо блочит все, либо висит открытым. перечитал приеры отсюда, пошарил в интернете, но результат никакой.
Подскажите, пожалуйста, как можно хотяб просто разрешить интернет пользователю. Мне больше ничего не надо, порты закрыть уже смогу.
Вот вывод при firewall-open:

00100     0        0 allow ip from any to any via lo0
00200     0        0 deny ip from any to 127.0.0.0/8
00300     0        0 deny ip from 127.0.0.0/8 to any
00400     0        0 deny ip from any to ::1
00500     0        0 deny ip from ::1 to any
00600     0        0 allow ipv6-icmp from :: to ff02::/16
00700     0        0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800     2      240 allow ipv6-icmp from fe80::/10 to ff02::/16
00900     0        0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000     0        0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 61443 31406599 allow ip from any to any
65535  2390   205925 deny ip from any to any

А вот мои последние потуги пропустить интернет хотяб на меня
pfw add allow all from 192.168.1.6 to any via rl0
ipfw add deny all from 192.168.1.0/24 to any via rl0
rl0 - сетевуха, которая смотрит в интернет и, собственно, ppp поднят через нее.
Помогите кто чем может, буду крайне благодарен.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блогировка ipfw всего"  +/
Сообщение от Ajavrik (ok) on 03-Ноя-11, 11:18 

Первыми выполняются правила с меньшим номером.
Дай ipfw show  и посмотри на вывод, правило разрешающее тебе должно стоять выше запрещающего всем.

ipfw add allow all from 192.168.1.6 to any via rl0
ipfw add deny all from 192.168.1.0/24 to any via rl0

>[оверквотинг удален]
> 01000     0      
>  0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
> 65000 61443 31406599 allow ip from any to any
> 65535  2390   205925 deny ip from any to any
> А вот мои последние потуги пропустить интернет хотяб на меня
> pfw add allow all from 192.168.1.6 to any via rl0
> ipfw add deny all from 192.168.1.0/24 to any via rl0
> rl0 - сетевуха, которая смотрит в интернет и, собственно, ppp поднят через
> нее.
> Помогите кто чем может, буду крайне благодарен.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блогировка ipfw всего"  +/
Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:20 
Вам нужен НАТ и вам нужно включить Форвардинг пакетов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 11:25 
> Вам нужен НАТ и вам нужно включить Форвардинг пакетов.

А если я поднял нат через rinerd?
Как это лучше оформить тогда?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Блогировка ipfw всего"  +/
Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:27 
Поднимите через natd или kernel nat.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 11:29 
> Поднимите через natd или kernel nat.

Окай, в таком случае мне нат 80 и 8080 делать на внешний интерфейс и с него, так?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 11:32 
> Поднимите через natd или kernel nat.

Этот пример для начала подойдет?
https://www.opennet.ru/openforum/vsluhforumID1/29722.html#1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Блогировка ipfw всего"  +/
Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:34 
Как раз то, что нада, и не забудьте же gateway_enable="YES"
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 12:48 
> Как раз то, что нада, и не забудьте же gateway_enable="YES"

у меня уже стоит. Спасибо, вечером буду пробовать.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Блогировка ipfw всего"  +/
Сообщение от slowkazak email(ok) on 03-Ноя-11, 19:08 
>> Как раз то, что нада, и не забудьте же gateway_enable="YES"
> у меня уже стоит. Спасибо, вечером буду пробовать.

Возможно я достаточно криворук, но сделал по-другому: Открыл все а до этого закрыл все ненужные порты в локалке и на внешке. Насколько кривая идея при условии что все работает как и хотел?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру