Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Firewall *nix: iptables, ipfw, pf etc...

Автор: latoshin
Дата сообщения: 29.03.2013 22:34
Имеем в офисе шлюз на FreeBSD 8.2
Три сетевых интерфейса
re0 - локалка (192.168.0.0/24)
rl0 - 1 провайдер
rl1 - 2 провайдер

IP 1 провайдера 111.111.111.22
GW 1 провайдера 111.111.111.1

IP 2 провайдера 222.222.222.33
GW 2 провайдера 222.222.222.1

В файле /etc/rc.cong
defaultrouter=" 111.111.111.1"

Нужно чтоб сервисы на маршрутизаторе были доступными по обоим внешним адресам одновременно

Сделано средствами IPFW и natd

Содержимое файла /etc/natd.conf


Код: log
instance default
interface rl0
port 8668
use_sockets yes
same_ports yes
redirect_port tcp 192.168.0.105:4899 9800

instance rl1
interface rl1
port 8669
use_sockets yes
same_ports yes

globalport 8670
Автор: jax2004
Дата сообщения: 31.03.2013 18:40
Эсть freebsd которая по сквиду раздает инет на компы по проксе прямого инета компы неимеют стоит IPFW. надо дать одному компу полный доступ!!
помогите как правильно прописать!!!
Автор: yrkrus
Дата сообщения: 01.04.2013 06:36
jax2004

ipwf allow ip from any to any где ip -айпишник пк которому дать полный доступ
Автор: jax2004
Дата сообщения: 01.04.2013 09:18
спамибо!!
Автор: OOD
Дата сообщения: 10.04.2013 15:35
Создал такое правило:
iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7888 -j DNAT --to-destination 192.168.100.251:7888
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20
Настроил торрент на порт

пишет порт открыт, а закачка не идет
подскажите в чем проблема?
Автор: Alukardd
Дата сообщения: 10.04.2013 15:41
OOD
Цитата:
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20
это правило не правильное. Что Вы им вообще хотели добиться? DNAT написали и всё. SNAT у Вас скорее всего и так есть в виде правила на всю локалку во внешку.
Автор: OOD
Дата сообщения: 10.04.2013 15:44
Alukardd
если так то тоже не работает:

-A POSTROUTING -s 192.168.100.251 -p tcp --dport 7888 -j ACCEPT
Автор: Alukardd
Дата сообщения: 10.04.2013 15:52
OOD
Цитата:
Что Вы им вообще хотели добиться?
я бы не отказался взглянуть на вывод
iptables -vnL
iptables -t nat -vnL
Автор: OOD
Дата сообщения: 10.04.2013 16:10
Alukardd
Скинул в лс
Автор: urodliv
Дата сообщения: 10.04.2013 18:59

Цитата:
Alukardd
Скинул в лс

Дискриминация какая-то получается Мы тоже хотим увидеть вывод этих команд.
Автор: Alukardd
Дата сообщения: 10.04.2013 22:25
OOD
Если там ни чего тайного нету, то выложите вывод всем в тэге [no][more][/more][/no]... А то я согласен с т. urodliv. Но инфа Ваша так что решать Вам.

На фига столько правила ACCEPT, если у всех цепочек policy ACCEPT?

Вы где-то адреса поменяли что ли? Т.к. те что представлены здесь и у меня в ЛС разные!

ACCEPT tcp -- * * 10.184.40.253 0.0.0.0/0 tcp dpt:7888во первых, это правила более узкое чем то, что стоит выше MASQUERADE all -- * eth1 10.184.40.253 0.0.0.0/0,Значит оно уже ни когда не сработает. А во-вторых оно не сработает т.к. у вас не dst port 7888, а src port, т.к. на нём висит какой-то сервер и он отвечает с этого порта клиенту на рандомный порт, а не наоборот.
Автор: OOD
Дата сообщения: 11.04.2013 08:22
Alukardd

Цитата:
здесь и у меня в ЛС разные!
Да, разные.
вот vi iptables:
[more]
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1500:1550 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 449 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4899 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 4898 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 162 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5190 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 5938 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9091 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 585 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1701 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 1701 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1723 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 4500 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1313 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT
################################################
*nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
UTPUT ACCEPT [0:0]


-A POSTROUTING -s 10.184.40.253/32 -o eth1 -j MASQUERADE


#RADMIN route na 10.184.40.253
-A PREROUTING -d реал айпи -p tcp --dport 4899 -j DNAT --to-destination 10.184.40.253:4899
-A PREROUTING -d реал айпи -p tcp --dport 4898 -j DNAT --to-destination 10.184.40.154:4898


#Torrent
-A PREROUTING -p tcp -d реал айпи --dport 7888 -j DNAT --to-destination 10.184.40.253:7888
#-A POSTROUTING -p tcp --dst 10.184.40.253 --dport 7888 -j SNAT --to-source реал айпи

COMMIT
[/more]

iptables -vnL :
[more]
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
89297 59M RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0. 0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
33248 20M RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0. 0.0.0/0

Chain OUTPUT (policy ACCEPT 105K packets, 77M bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
86 143K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
18 730 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
112K 78M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
19 1464 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpts:1500:1550
305 18003 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5938
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:449
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:4899
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:4898
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:50000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080
140 7211 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
1558 79116 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
123 9224 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:161
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:162
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3389
2 92 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5190
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5938
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5938
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:9091
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:585
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1701
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1723
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1313
8128 607K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[/more]
iptables -t nat -vnL:
[more]
Chain OUTPUT (policy ACCEPT 85260 packets, 62M bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
84 143K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
16 674 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
94053 66M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
17 1312 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123


Chain PREROUTING (policy ACCEPT 10421 packets, 722K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:443 to:10.184.40.17:443
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:4899 to:10.184.40.253:4899
0 0 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:4898 to:10.184.40.154:4898
206 10376 DNAT tcp -- * * 0.0.0.0/0 реал айпи tcp dpt:7888 to:10.184.40.253:7888

Chain POSTROUTING (policy ACCEPT 2694 packets, 179K bytes)
pkts bytes target prot opt in out source destination
68 4300 MASQUERADE all -- * eth1 10.184.40.253 0.0.0.0/0


Chain OUTPUT (policy ACCEPT 2604 packets, 174K bytes)
pkts bytes target prot opt in out source destination

[/more]
Автор: Alukardd
Дата сообщения: 11.04.2013 09:43
OOD
после vi iptables остальное уже можно не показывать было...

Правила я смотрю Вы подправили... И что в текущем варианте не работает? Правила NAT'а настроены вроде правильно. Дальше если что не работает, то надо смотреть чего ещё не хватает µTorrent, что за галочка "Автоназначение порта" и т.п.
Автор: freesmart
Дата сообщения: 11.04.2013 10:00
Здраствуйте, подскажите пожалуйста что я делаю не так. с Freebsd общаюсь недавно, была поставлена задача поднять почтовый сервер на Mdaemon. поднял, с локальной сети проверил, работает web морда доступна по http://localaddres:3000 почтовый клиент почту отправляет и получает. инет работает через шлюз на freebsd там в файле pf.conf прописываю правила для проброса портов 25, 110, 3000 следующим образом:
rdr on $ext_if proto tcp from any to VneshiyIP port 8080 -> localaddres port 3000 для веб морды
rdr on $ext_if proto tcp from any to VneshiyIP port 25 -> localaddres port 25
rdr on $ext_if proto tcp from any to VneshiyIP port 110 -> localaddres port 110 для почтового клиента

потом делаю рестарт /etc/rc.d/pf restart
вижу в консоли:
Disabling pfpf disabled
.
Enabling pf
при этом сессия до шлюза рвется выкидывая такое сообщение:
Network error: Software caused connection abort

по моему после прописывания портов и рестарта фаервола правила должны примениться и должен быть доступен адрес VneshiyIP:8080 для веб морды и порты 25 и 110 для почтового клиента. но этого не происходит

в браузере на запрос http://VneshniyIP:8080 вижу ->
Во время доставки URL: http://VneshniyIP:8080/

Произошла следующая ошибка:
Доступ запрещён.

Настройка контроля доступа не даёт возможности выполнить Ваш запрос в настоящее время. Пожалуйста, свяжитесь с Вашим поставщиком услуг Интернет, если Вы считаете это неправильным.


то есть получается что порт закрыт и правило не работает. почтовый клиент тоже отказывается работать.

вот собственно вроде бы несложная ситуация но.... не выходит никак. пните пожалуйста если кому не сложно в нужном направлении. заранее благодарен
Автор: OOD
Дата сообщения: 11.04.2013 10:09
Alukardd
с µTorrent все ок! Сиды видны, пиры видны, а в состояние закачки не переходит такое ощущение, что это чем то запрещено, может быть помимо открытого порта нужно еще какое то правило?
Автор: Alukardd
Дата сообщения: 11.04.2013 10:24
OOD
Для того что бы качать вообще не надо ни чего пробрасывать, это надо только для того что бы с Вас могли качать.
BitTorrent протокол обычно использует следующие порты.

Вообще я торентами пользуюсь крайне редко поэтому не особо знаком с принципом их работы. А в те редкие случаи когда качая что-либо по средством .torrent файла, то ни каких настроек на шлюзе ни когда под это дело не выполнял. На скачку всё и так работает, да и раздача вроде тоже шла хз уж каким образом.
Автор: OOD
Дата сообщения: 11.04.2013 10:33
Alukardd
Создаю такое правило т.е. оно действует на всю локалку
:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6881:6889 -j ACCEPT
все равно не качает!
из пиров виден только я
Автор: Alukardd
Дата сообщения: 11.04.2013 11:50
OOD
? цепочка INPUT это для входящих соединений именно на сам сервер, где работает iptables/netfilter.
Ознакомьтесь ещё раз со схемой.

А я ещё раз обращу внимание что для скачки файла при наличии .rorrent файла не требуются каких-то сверх настроек.
Автор: OOD
Дата сообщения: 12.04.2013 11:58
Alukardd
заработало с политикой:
-I FORWARD -s 10.184.40.253 -p tcp --dport 5000:65535 -j ACCEPT
Автор: Alukardd
Дата сообщения: 12.04.2013 13:33
OOD
Oops, мой фейл, а точнее Ваш прежде всего.
Я не оценил что правила для FORWARD Вы отправляете в цепочку для проверки входящих соединений (RH-Firewall-1-INPUT). Это не одно и тоже! Зачем Вы вообще так сделали?
Автор: bga83
Дата сообщения: 16.04.2013 08:32
На вопрос из темы


Цитата:
я всетаки думаю что дело в pf. хотя если сделать pfctl -s nat
то видно
rdr on vr1 inet proto tcp from any to внешнийип port = 3000 -> 192.168.0.101 port 3000
rdr on vr1 inet proto tcp from any to внешнийип = smtp -> 192.168.0.101 port 25
rdr on vr1 inet proto tcp from any to внешнийип port = pop3 -> 192.169.0.101 port 110
(это я уже решил пробрасывать не 80 порт внешнего адреса на 3000 порт сервера а напрямую, 3000 на 3000) мне вот интересно достаточно ли прописать в pf.conf такую строку чтобы проброс заработал?
rdr on $ext_if proto tcp from any to внешнийип port 3000 -> 192.168.0.101 port 3000
правило писал по образу тех что были написаны до меня


Кроме правил непосредственно ната, проверь наличие фаервольных правил, разрешающих хождение соответсвующих пакетов из-за периметра сети внутрь.
И еще, как уже говорил, посмотри сниффером(tcpdump), что творится на внешнем и внутреннем интерфейсе.
Автор: OOD
Дата сообщения: 16.04.2013 09:12
Alukardd

Цитата:
Зачем Вы вообще так сделали?

конфиг нашел в гугле и кое как в нем разобрался но не на все 100%
в никсе не шарю
Автор: freesmart
Дата сообщения: 16.04.2013 12:22
нашел у себя в pf.conf строку block log all
закоменитровал и заработало все. одно непонятно эта строка стояла после всех правил проброса портов а не работали только те правила которые я создавал. те которые были созданы - работали. подскажите что вобще блокирует это правило?
Автор: bga83
Дата сообщения: 16.04.2013 15:00
freesmart
Я же уже сказал, что кроме правил проброса, которые просто меняют адрес назначения, должны быть еще и фаервольные правила, разрешающие хождение таких пакетов.
Если созданные до тебя пробросы работали, значит в конфиге для них кроме rdr-правил были еще и pass-правила.

Правила должны выглядеть примерно так:

pass proto tcp from any to 192.168.0.101 port {25,110,3000} keep state

единственное проверь синтаксис - я не помню как точно указывается перечень портов в pf, нужны фигурные скобки или нет.

Автор: freesmart
Дата сообщения: 17.04.2013 05:54
bga83 огромное вам спасибо. теперь все работает.
Автор: korn3r
Дата сообщения: 25.08.2013 18:49
привет, глупый вопрос:

есть роутер с iptables, есть сетка (192.168.1.0/24), есть еще 1 сетка на роутере (172.16.0.0/12)
нужно запретить ходить с адресов 192.168.1.40-192.168.1.255 на 172.16.0.0/12
что-то ничего не выходит (iptables я не знаю вообще)
пробовал следующее:

Код:
iptables -A FORWARD -o tun21 -m iprange --src-range 192.168.1.40-192.168.1.255 -j DROP
iptables -A OUTPUT -o tun21 -m iprange --src-range 192.168.1.40-192.168.1.255 -j DROP
iptables -A FORWARD -m iprange --src-range 192.168.1.40-192.168.1.255 -d 172.16.0.0/12 -j DROP
Автор: Alukardd
Дата сообщения: 18.10.2013 14:48
Приветствую!

Помогите написать правила для ipfw, что бы соединения идущие на определённый ip:port текущей машины, уходили на другой ip.

Я попробовал одну хрень, после чего лешился доступа к машине, так что экспериментировать возможности нету.

попробовал:
kldload ipfw_nat
sysctl net.inet.ip.forwarding=1
ipfw nat 1 config log if igb0 reset same_ports deny_in redirect_port tcp ${remote_ip}:443 443
ipfw add 10130 nat 1 ip from any to any via igb0

сейчас по сути ни чего нету:
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65535 allow ip from any to any
Автор: urodliv
Дата сообщения: 21.11.2013 21:45
Это ответ на вопрос от Vania.
В обоих наборах правил вы разрешаете только входящий трафик. А исходящий - нет. Во втором примере (с проверкой состояния соединения) указывать у входящих правил только состояние NEW нелогично.
P.S. Для работы l2tp поверх ipsec`а помимо портов 500, 1701 (4500 только если будет задействован nat-t) надо разрешать прохождение протокола esp, и, возможно, ah. У вас этого нет. И таки да, порты 500, 1701 и 4500 надо открывать только для udp.
Автор: Vania
Дата сообщения: 21.11.2013 22:35
Я по этому руководству пытаюсь установить IPSEC/L2TP VPN on CentOS 6 / Red Hat Enterprise Linux 6 / Scientific Linux 6 там написано что 1701 порт TCP нужно открывать. Я открываю и TCP и UDP для всех указанных в руководстве портов 1701, 4500, 500. Если смотреть netstat -npl сервер xl2tpd действительно по порту 1701 UDP слушает.

Я Linux знаю на начальном уровне, поэтому нужные мне правила я не напишу. Поэтому если кто-то поможет написать правила для моего случая был бы благодарен.

Чем можно проверить открыты ли порты UDP?
Автор: urodliv
Дата сообщения: 22.11.2013 20:58
Vania

Цитата:
Я открываю и TCP и UDP для всех указанных в руководстве портов

Не видим. Объяснение смотри выше.

Цитата:
Я Linux знаю на начальном уровне, поэтому нужные мне правила я не напишу.

За вас их мы писать тоже не будем. Печалька.

Цитата:
Поэтому если кто-то поможет написать правила для моего случая был бы благодарен.

В шапке этой темы уважаемый Alukardd разместил ссылку на онлайн генератор.

P.S. А у хостера для вас открыты все порты? Может вы не там "рыбу ловите"?

Страницы: 123456789101112131415

Предыдущая тема: Как подключиться по RDP к 2000 серверу - к локальной сессии?


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.