» FreeBSD + ipfw rules

sergeiddt
А какую конфигурацию ты хочешь задать для второй карточки? Такое впечатление что ты хочешь второй сетевухе отдать АйПи который уже на первой сконфигурен...

А ежели все так как ты раньше писал - то покажи что у тебя сисинcталл сформировал в файле /etc/rc.conf - особенно строки if_config_xl0= и if_config_xl1= ?

Цитата:

привет всем...
имеется ПК celeron 300 + 64 mb ОЗУ + 2 сетевых карточки, установил FreeBSD 5.2.1 + перекомпилировал ядро, добавил следующие параметры:


options HZ=1000

Ну и как твой целерон под нагрузкой поживает? Не дымится еще?
HZ=300 ему ИМХО выше крыши.

По сути - #cat /etc/rc.conf и #ifconfig сюда

Цитата:

Ну и как твой целерон под нагрузкой поживает? Не дымится еще?
HZ=300 ему ИМХО выше крыши.

спасибо за подсказку... (кстати, нет ничего не дымится 99 % Idle)


Добавлено:
zow
PomidorOFF
спасибо с этим вопросом я уже разобрался, для сетевухи, что в инет выставил через /stand/sysinstall -->configure-->networking ну и так далее, затем, чтобы настроить второй интерфейс набрал так: ifconfig_xl0 192.168.1.1 netmask 255.255.255.0 - эту строчку точно не помню, все заработало при подключении второго компа к сетевухе № 2 все пингуется...
Теперь мучаюсь с nat'ом, никто по этой статье http://unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=15 не настраивал? у меня не заработало, потом искал в yandex'e по этому же поводу и нашел на сайте opennet.ru, что в этой статье ошибка где-то в /sbin/ ipfw add ну и так далее.... где можно найти нормальную статью по настройке ната?

sergeiddt
Месяца два назад сам искал то же. Тут на форуме почти ничего не нашел. Ищи в гугле если подробно нужно расписать.
Если быть кратким , то приблизително так:
/etc/natd.conf
--------------------
interface xl0 (наружный)
---------------------

/etc/rc.conf
---------------
natd_enable="YES"
---------------

скрипт конфигурации файера
-------------
add divert natd all from 192.168.0.0/24 to any out xmit xl0 (наружный)
add divert natd all from any to 111.111.111.111(наружный айп) in recv xl0
----------------

Всем привет. Стоит FreeBSD 5.3, через неё ходим в инет. Все хорошо и замечательно, только вот на фтп(на любой) в активном режиме зайти не могу, только пассивный. Подскажите где копать, сам во FreeBSD только начинаю разбиратся, я понял что какие-то параметры надо в firewall.rules прописывать(удалять?).
Заранее благодарен за любой совет

Добрый день.
Достался "в наследство" шлюз на FreeBSD с криво настроенным ipfw.
На машине должны быть открыты порты:
20,21 - FTP
22 - SSH
25 - SMTP
53 - DNS
80 - Apache
110 - POP3
3128 - Squid (только для пользователей LAN)
Остальные порты надо закрыть.
При проверке этой машины на открытость портов обнаружил, что открыт порт 31337
"Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO" судя по описанию "http://sygatetech.com/quickscan.html"
Начал смотреть правила файрвола и обнаружил, что они мягко говоря "дырявые":
# xl0 - LAN
# xl1 - Internet
# 192.168.0.44 - FreeBSD router
# 192.168.0.1-192.168.0.50 LAN users IP
00100 allow ip from any to any via lo0
00200 allow ip from any to any via xl0
00300 divert 8668 ip from any to any
00400 deny icmp from any to any frag
00450 allow ip from any to any via xl1
00500 allow icmp from any to any
00600 allow tcp from any to any 80 out xmit xl0
00700 allow tcp from any 80 to any out xmit xl0
00800 allow udp from any to any 53
00900 allow udp from any 53 to any
01000 allow udp from any to any 110
01100 allow udp from any 110 to any
01200 allow tcp from any to any 21
01300 allow tcp from any 20 to any
01400 allow tcp from any to any 20
01500 allow tcp from 192.168.0.5 22 to 192.168.0.44
01600 allow tcp from 192.168.0.44 to 192.168.0.5 22
01700 allow tcp from any to any 53,80,110 via xl1
65535 deny ip from any to any

Очень "смущает" правило 450, видимо его надо заменить на нечто в виде:
00450 allow ip from (здесь наверное 192.168.0.1-192.168.0.50 или с помощью битовой маски) to any via xl1
и тогда наверное надо будет добавить еще одно правило вида
00450 allow ip from ME to any via xl1
Или не так?
Где-то надо будет описать еще что все порты кроме указанных в правилах закрыты!

Кстати, при проверке машины Win2k3, защищенной Kerio Winroute http://sygatetech.com/quickscan.html показывает, что нерабочие порты имеют статус "Blocked" (Ideally your status should be "Blocked". This indicates that your ports are not only closed, but they are completely hidden (stealthed) to attackers.)
А при проверке машины c FreeBSD с ipfw нерабочие порты имеют статус "Closed".
Собственно еще вопрос: Как сделать на ipfw блокирование портов, а не только их закрытие?

blocked - это те что закрыты firewall
closed - это порты на которых не висит не одна из служб. такого эфекта можно добится заменим в правилах ipfw слово deny на reject

а насчет правил:
посмотри раздел simple в файле /etc/rc.firewall. Он намного лучше чем эти правила :)
вместо inet, imask,iip, iif, onet, omask, oip, oif -
пропиши свои и довавь порты которые надо открыть (в том месте помнится есть коментарии)

что-бы потом это все заработало постваь в /etc/rc.conf
firewall_type="simple"

и перезапусти ipfw (/etc/rc.d/ipfw restart)

wInuX
Спасибо, попробую.

Хотя в моем rc.firewall такого раздела, как такового нету. Может быть из-за того, что FreeBSD староватая.
Все таки не очень понимаю для чего нужно именно ТАКОЕ правило:
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#${fwcmd} add allow ip from any to any
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

А в моем rc.firewall есть только вот что:
[5~#!/bin/sh
fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush



# Net & interfaces
# Internet interface with real IP
ifout="xl1"

# Local interface with local IP
ifin="xl0"

fw="200.200.200.1"
local="200.200.200.2"
client="192.168.1.1"
net="192.168.0.0/24"
mask="255.255.255.0"


# allow local interface trafic
${fwcmd} add pass all from any to any via lo0

# allow trafic in our LAN
${fwcmd} add pass all from any to any via ${ifin}

# all trafic to NAT
#${fwcmd} add divert 8668 ip from ${net} to any out via ${ifout}
${fwcmd} add divert 8668 ip from any to any

# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#${fwcmd} add allow ip from any to any
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

# deny fragmented packet transfer
${fwcmd} add deny icmp from any to any frag

# ICMP allow
${fwcmd} add pass ICMP from any to any

# SMTP demos
# ${fwcmd} add pass tcp from ${net} to 195.133.224.18 25 out

#${fwcmd} add pass tcp from 195.133.224.18 25 to any out

# SMTP deny
# ${fwcmd} add deny tcp from any to any 25 out via ${ifout}
#${fwcmd} add pass tcp from not ${net} to me smtp

# HTTP
${fwcmd} add pass tcp from any to any 80 out via ${ifin}
${fwcmd} add pass tcp from any 80 to any out via ${ifin}

# DNS
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any

# POP3
${fwcmd} add pass udp from any to any 110
${fwcmd} add pass udp from any 110 to any

# FTP allow 20 and 21 tcp port
${fwcmd} add pass tcp form any 21 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 20

# SSH
${fwcmd} add pass tcp from 192.168.0.5 22 to 192.168.0.44

${fwcmd} add pass tcp from 192.168.0.44 to 192.168.0.5 22

# all http trafic to Squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net} to any http out via ${ifout}

# deny trafic from internet to LAN
# ${fwcmd} add deny all from 192.168.1.0/24 to ${net}:${mask} via ${ifin}
# ${fwcmd} add deny all from ${net}:${mask} to 192.168.1.0/24 via ${ifin}


# allow some TCP ports in Internet interface

${fwcmd} add allow tcp from any to any 53,80,110 via ${ifout}

#${fwcmd} add pass tcp from me to any 25 via ${ifout}
#${fwcmd} add pass tcp from any 25 to me via ${ifout}
#${fwcmd} add pass tcp from me to any 110 via ${ifout}
#${fwcmd} add pass tcp from any 110 to me via ${ifout}
#${fwcmd} add pass udp from me to any 53 via ${ifout}
#${fwcmd} add pass udp from any 53 to me via ${ifout}
#${fwcmd} add pass tcp from me to any 80 via ${ifout}
#${fwcmd} add pass tcp from any 80 to me via ${ifout}

jills
это наверно твое "наследство постаралось" :)

вот этот раздел из стандартного rc.firewall
[more]
# set these to your outside interface network and netmask and ip
oif="?"
onet="?"
omask="?"
oip="?"

# set these to your inside interface network and netmask and ip
iif="?"
inet="?"
imask="?"
iip="?"

setup_loopback

# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

# Network Address Translation. This rule is placed here deliberately
# so that it does not interfere with the surrounding address-checking
# rules. If for example one of your internal LAN machines had its IP
# address set to 192.0.2.1 then an incoming packet for it after being
# translated by natd(8) would match the `deny' rule above. Similarly
# an outgoing packet originated from it before being translated would
# match the `deny' rule below.
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag

# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${oip} 25 setup

# Allow access to our DNS
${fwcmd} add pass tcp from any to ${oip} 53 setup
${fwcmd} add pass udp from any to ${oip} 53
${fwcmd} add pass udp from ${oip} 53 to any

# Allow access to our WWW
${fwcmd} add pass tcp from any to ${oip} 80 setup

# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup

# Allow setup of any other TCP connection
${fwcmd} add pass tcp from any to any setup

# Allow DNS queries out in the world
${fwcmd} add pass udp from ${oip} to any 53 keep-state

# Allow NTP queries out in the world
${fwcmd} add pass udp from ${oip} to any 123 keep-state

# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
[/more]

wInuX
Все таки надеюсь, что не rc.conf, а rc.firewall ?

да. уже поправил

2 wInuX

А в эти параметры чего забивать?
iif="?" # типа интерфейс? xl1 например?
inet="?" # а здесь чего писать?
imask="?" # маска сети что ли?
iip="?" # тут видимо ip адрес интерфейса?

iif="?" - это интерфейс. (например rl0)
inet="?" - это номер сети (например 192.168.0.0)
imask="?" -это маска сети (например 255.255.255.0)
iip="?" это адрес интерфейса (например 192.168.0.1)

wInuX
Спасибо.
Дефолтовые правила действительно помогли.
Снаружи теперь ничего лишнего не видно.
Но вот кое-что не работает, а именно NAT, ICQ и почта на внешних серверах.
xl0 - LAN interface
xl1 - Internet interface
111.222.333.444 - real IP address
Мои правила по ipfw show такие:
00100 deny ip from 192.168.0.0/24 to any in recv xl1
00200 deny ip from 195.133.227.0/30 to any in recv xl0
00300 deny ip from any to 10.0.0.0/8 via xl1
00400 deny ip from any to 172.16.0.0/12 via xl1
00500 deny ip from any to 192.168.0.0/16 via xl1
00600 deny ip from any to 0.0.0.0/8 via xl1
00700 deny ip from any to 169.254.0.0/16 via xl1
00800 deny ip from any to 192.0.2.0/24 via xl1
00900 deny ip from any to 224.0.0.0/4 via xl1
01000 deny ip from any to 240.0.0.0/4 via xl1
01100 divert 8668 ip from any to any via xl1
01200 allow tcp from any to any established
01300 allow ip from any to any frag
01400 allow tcp from any to 111.222.333.444 25 setup
01500 allow tcp from any to 111.222.333.444 53 setup
01600 allow udp from any to 111.222.333.444 53
01700 allow udp from 111.222.333.444 53 to any
01800 allow tcp from any to 111.222.333.444 80 setup
01900 deny log tcp from any to any in recv xl1 setup
02000 allow tcp from any to any setup
02100 allow udp from 111.222.333.444 to any 53 keep-state
02200 allow udp from 111.222.333.444 to any 123 keep-state
65535 deny ip from any to any

Цитата:

Но вот кое-что не работает, а именно NAT, ICQ и почта на внешних серверах.

а что тогда работает? :)


вроде все правильно.
у тебя natd запущен?.
а с самого сервера можешь зайти на аську или на почту?
DNS на локальных компьютерах работает?

Добавлено:
и еще добавь в начала три правила для localhost

ipfw allow all from any to any via lo0
ipfw deny all from 127.0.0.0/8 to any
ipfw deny all from any to 127.0.0.0/8

wInuX
Добавил правила для lo.
На локальной машине был прописан только внутренний адрес рутера.
В результате ресолвинг не работал.
После добавления внешнего адреса, в качестве secondary ресолвинг запахал.
Сейчас вроде бы все заработало.
Большое спасибо!

Доброй ночи. Трабла такая стоит фря на ней Но дени. Со стандартными правилами от Но дени авторизация не работает.

тякая проблема
Есть VPN сеть 10.10.10.0/24 в которую надо отдавать интернет через NAT.
Вроде сделал все прекрасно пингует, DNS, ася пашет, а вот HTTP не работает
прчем соединеие с портом устанавлевает и зависает на загрузке.

OS FreeBSD 4.9
конфиги

/etc/natd.conf

Код:
use_sockets yes
same_ports yes
unregistered_only yes
interface rl1

YuroN

Цитата:

# HTTP & SSL
ipfw add allow tcp from any to ${SEG_VPN} 80 via ${ETHER1}

попробуй так...
ipfw add allow tcp from any to ${SEG_VPN} 80
ipfw add allow tcp from any 80 to ${SEG_VPN}

Цитата:

попробуй так...
ipfw add allow tcp from any to ${SEG_VPN} 80
ipfw add allow tcp from any 80 to ${SEG_VPN}

боюсь не помогло
даже все запреты поуберал всеровно не пашет

раньше все работало с такм правилом
ipfw add divert 8668 all from any to any via ${ETHER0}

как только поменял на это - и тут начались проблемы с HTTP
ipfw add divert 8668 ip from any to ${INET_IP} via ${ETHER0} in
ipfw add divert 8668 ip from ${SEG_VPN} to any via ${ETHER0}

У провайдера несколько каналов, что некоторые сайты работают с одного канала, а сдругого нет
и еще у его походу настроен у его прозрачный прокси сквид

YuroN
добавь правило для ведения записи в LOG-файл...

1. удали эти правила
ipfw add allow tcp from any to ${SEG_VPN} 80
ipfw add allow tcp from any 80 to ${SEG_VPN}

2. добавь эти правила(тут просто стоит опция ведение лога)
ipfw add allow log logamount 10000 tcp from any to ${SEG_VPN} 80
ipfw add allow log logamount 10000 tcp from any 80 to ${SEG_VPN}

3. далее смотри LOG...# tail -Ff /var/log/security
где пакеты на 80 или с 80 порта "затыкаются" и не проходят...

*** logamount 10000 - эта опция даст возможность вносить в LOG-файл больше записей,
чем было указано при компиляции ядра с опцией options IPFIREWALL_VERBOSE_LIMIT=100

Цитата:

1. удали эти правила
ipfw add allow tcp from any to ${SEG_VPN} 80
ipfw add allow tcp from any 80 to ${SEG_VPN}

2. добавь эти правила(тут просто стоит опция ведение лога)
ipfw add allow log logamount 10000 tcp from any to ${SEG_VPN} 80
ipfw add allow log logamount 10000 tcp from any 80 to ${SEG_VPN}

3. далее смотри LOG...# tail -Ff /var/log/security
где пакеты на 80 или с 80 порта "затыкаются" и не проходят.

Все сделал, запускаю бароузер ya.ru или что-то еще. и смотрю в логи


Код:
May 9 18:02:18 kckba /kernel: ipfw: 600 Accept TCP 72.232.29.238:80 10.10.10.2:2311 in via tun0
May 9 18:02:18 kckba /kernel: ipfw: 600 Accept TCP 72.232.29.238:80 10.10.10.2:2311 out via ng1
May 9 18:02:32 kckba /kernel: ipfw: 600 Accept TCP 212.42.64.8:80 10.10.10.2:2312 in via tun0
May 9 18:02:32 kckba /kernel: ipfw: 600 Accept TCP 212.42.64.8:80 10.10.10.2:2312 out via ng1
May 9 18:03:22 kckba /kernel: ipfw: 600 Accept TCP 72.232.29.238:80 10.10.10.2:2311 in via tun0
May 9 18:03:22 kckba /kernel: ipfw: 600 Accept TCP 72.232.29.238:80 10.10.10.2:2311 out via ng1
May 9 18:03:36 kckba /kernel: ipfw: 600 Accept TCP 212.42.64.8:80 10.10.10.2:2312 in via tun0
May 9 18:03:36 kckba /kernel: ipfw: 600 Accept TCP 212.42.64.8:80 10.10.10.2:2312 out via ng1

подскажите пожалуйста хватит ли для нормального функционирования DNS этих правил:


echo -n "Starting firewall..."
ipfw="/sbin/ipfw -q"
int_if="xl0"
ext_if="ed0"
int_ip="192.168.0.250"
ext_ip="192.168.1.253"
gate_ip="192.168.1.254"
int_net="192.168.0.0/24"
adm_ip="192.168.0.1,192.168.0.31"
dns_serv="xx.xx.xx.xx"

##### DNS
${ipfw} add 500 allow udp from ${ext_ip} to ${dns_serv} 53 out via ${ext_if} keep-state
${ipfw} add 510 allow udp from ${dns_serv} to ${ext_ip} 53 in via ${ext_if}

без keep-state не работает.

кто подскажет почему ? это только для UDP соединений ?

ксати подскажите как происходит вступление в силу изменений ?
т.е. я изменил файл конф фаервола и он уже по ним смотрит ?

slech
нет, только изменить не достаточно
надо запустить этот файлык где прописаны правила

squid
понял спасибо.

народ помогите

блин есть сететь и микротик смотрящий в инет

Mikrotik
ext xx.xx.xx.xx
int 192.168.0.254/24 192.168.1.254/30

FreeBSD
ext 192.168.1.253/30
int 192.168.0.250
щас все с микротика получают нет, и фрюха то же с него, и все друг друга видят.

на фре поставил NeTAMS
пытаюсь настроить фаервол:
уже неделю парюсь и нивкакую

echo -n "Starting firewall..."
ipfw="/sbin/ipfw -q"
int_if="xl0"
ext_if="ed0"
int_ip="192.168.0.250"
ext_ip="192.168.1.253"
gate_ip="192.168.1.254"
int_net="192.168.0.0/24"
int_pref="192.168.0."
adm_ip="192.168.0.1,192.168.0.31"
dns_serv="217.26.150.5,217.26.150.4"

######################################################################
${ipfw} -f flush
${ipfw} add 100 allow all from any to any via lo0
${ipfw} add 200 deny all from any to 127.0.0.0/8

${ipfw} add 900 divert natd all from ${int_net} to any out via ${ext_if}
${ipfw} add 910 divert natd all from any to ${ext_ip} in via ${ext_if}
${ipfw} add 1000 allow all from any to any
${ipfw} add 1100 allow udp from any to any

Блин уже неделю парюсь. Рещил идти от простого.
Пытаюсь собрать минимально закрытую но работоспособную конфигу.
Домены не резолвятся. Почему ?


[s]Добавлено:
или DNS не перебрасывается и для того что бы работало надо поднять DNS на фре ?

родскажите пожалуйста
в каком порадке распологать правила ?
тут написано что:

Тут есть одно и очень простое правило: располагать правила для

IPFW в следующем порядке:

сначала идут инструкции deny и reject (если есть)
потом divert
потом allow на внутреннюю сетку(и)
потом allow все остальное
потом deny все, что осталось.


И как быть с дивертами ?
2-а или один ?

01900 8 456 divert 8668 ip from 192.168.0.0/24 to any out via ed0
01910 2 168 divert 8668 ip from any to 192.168.1.253 in via ed0

пинги не ходят с фрюхи наружу. резолвятся, но не ходят.
наружу пускает, т.е на порты цепляюсь, а пингов нету.
Если ставлю ipfw add 1899 allow icmp from any to any - то работает, как только переношу за divert отключается.

Если ставлю между 2-мя дивертами, то у фри пинг есть, у машин настроенных на неё нету.
Если удаляю второй диверт то у фри есть у машин нету.

Имеется правило ограничения трафика:

add allow tcp from any to me 80 limit src-addr 10 -- ограничение максимального кол-ва коннектов на 80 порт с 1 IP.
pipe 1 config bw 8192Kbits queue 100 -- создание пайпа с ограничением ширины канала в 8Мбит.
pipe 2 config bw 0Kbits -- создание пайпа без ограничений.
...далее идут правила по подсетям - каким подсетям использовать 1й пайп, а каким - 2й.

Всё это используется для раздачи файлов различных размеров (от 10 кбайт до 1 гигабайта).

Подскажите пожалуйста, какое значение у queue будет оптимальным? Мануалы по ipfw читал, но не совсем понял, зачем оно нужно...