информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetСтрашный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
 Памятка мирным людям во время информационной... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik... 26.09.05 16:34  Число просмотров: 1841
Автор: AleX-shl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> /sbin/ipfw add 55 pipe 7 ip from any to
> 192.168.184.0/24
> /sbin/ipfw add 55 pipe 7 ip from
> 192.168.184.0/24 to any
> ???

A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik ineta ne sazhali
<sysadmin>
Проблемы c маршрутизацией FreeBSD 26.09.05 13:18  
Автор: AleX-shl Статус: Незарегистрированный пользователь
Отредактировано 26.09.05 13:19  Количество правок: 1
<"чистая" ссылка>
Вообщем, ситуация следующая ->
В локалке стоит внутренний сервак (ВС) с работающем DHCP, с помощью которого сеть офисса делится на 3 отдела: 192.168.188.xxx / 192.168.184.xxx / 192.168.187.xxx. Соответственно происходит динамическое распределение ip. В интет ходим через выделенку, локальная сеть скрывается внешним роутером на freebsd (ВР). ВР - имеет две сетевухи: rl0 - смотрит наружу, rl1 - в локалку напрямую во ВС. rl0 -> 222.222.222.222, rl1 - 192.168.185.100 (соответственно адрес интерфейса ВС - 192.168.185.200).
В ядро вкомпилили: options IPFIREWALL, IPDIVERT...
в rc.conf прописали:
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
ifconfig_rl0="inet 222.222.222.222 netmask 255.255.255.252"
ifconfig_rl1="inet 192.168.185.100 netmask 255.255.255.0"
defaultrouter="222.222.222.221"
route add 192.168.188.0 192.168.185.200
route add 192.168.187.0 192.168.185.200
route add 192.168.184.0 192.168.185.200
----------------------------
Если заводим ipfw открытого типа - пакеты ходят - все замечательно:
ipfw add divert natd all from any to any
ipfw add allow all from any to any
------
Ставлю свои правила (которые на старом роутере работали) -> капут:
/sbin/ipfw flush
/sbin/ipfw pipe 1 config bw 44Kbit/s delay 150ms
/sbin/ipfw pipe 2 config bw 64Kbit/s delay 50ms
/sbin/ipfw pipe 3 config bw 44Kbit/s delay 150ms
/sbin/ipfw pipe 4 config bw 24Kbit/s delay 50ms
/sbin/ipfw pipe 5 config bw 128Kbit/s delay 75ms
/sbin/ipfw pipe 6 config bw 64Kbit/s delay 25ms
/sbin/ipfw pipe 7 config bw 512Kbit/s delay 50ms
/sbin/ipfw pipe 8 config bw 512Kbit/s delay 50ms

/sbin/ipfw add 50 allow ip from any to any via lo0
/sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
/sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
/sbin/ipfw add 200 allow ip from any to any via rl1
/sbin/ipfw add 500 divert 8668 ip from 192.168.0.0/16 to any
/sbin/ipfw add 600 allow ip from any to any out via rl0
/sbin/ipfw add 800 divert 8668 ip from any to any via rl0
/sbin/ipfw add 900 allow ip from any to any
При этом машины с локалки не могут даже пингануть интерфейс rl1=(((((((
netstat -nr показывает:
Destination Gateway Flags Refs Use Netif Expire
default 82.179.111.125 UGSc 49 9970408 rl0
222.222.222.220/30 link#1 UC 0 0 rl0
222.222.222.221 0:a0:c5:cb:62:72 UHLW 33 0 rl0
127.0.0.1 127.0.0.1 UH 0 210 lo0
192.168.184 192.168.185.200 UGSc 15 807127 rl1
192.168.185 link#2 UC 0 0 rl1
192.168.185.200 0:d0:b7:bf:b1:13 UHLW 6 705 rl1
192.168.187 192.168.185.200 UGSc 0 115060 rl1
192.168.188 192.168.185.200 UGSc 3 6305843 rl1

Что не так?? 3-ий день понять не могу=(
А почему?: 26.09.05 16:17  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
/sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
/sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
???
A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik... 26.09.05 16:34  
Автор: AleX-shl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> /sbin/ipfw add 55 pipe 7 ip from any to
> 192.168.184.0/24
> /sbin/ipfw add 55 pipe 7 ip from
> 192.168.184.0/24 to any
> ???

A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik ineta ne sazhali
Кажется, ты меня не понял. [updated] 26.09.05 19:44  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 26.09.05 19:47  Количество правок: 1
<"чистая" ссылка>
> > /sbin/ipfw add 55 pipe 7 ip from
> any to
> > 192.168.184.0/24
> > /sbin/ipfw add 55 pipe 7 ip from
> > 192.168.184.0/24 to any
> > ???
>
> A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik
> ineta ne sazhali

Кажется, ты меня не понял.
Обрати внимание на нумерацию этих двух правил - оба 55.

Ко всему прочему, на всякий случай, я бы сделал так:

add allow pipe 7 ip from 192.168.184.0/24 to any out xmit rl0
add allow pipe 7 tcp from any to 192.168.184.0/24 in recv rl0 established
add deny tcp from any to 192.168.184.0/24 in recv rl0
add allow pipe 7 ip from any to 192.168.184.0/24 in recv rl0

А почему ты все правила прописываешь в отдельной команде?
Не проще ли создать файл с правилами и грузить его в ipfw?
Po povodu numeratsii - eto ne strashno, prosto pod odnim... 27.09.05 12:22  
Автор: AleX-shl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > /sbin/ipfw add 55 pipe 7 ip
> from
> > any to
> > > 192.168.184.0/24
> > > /sbin/ipfw add 55 pipe 7 ip
> from
> > > 192.168.184.0/24 to any
> > > ???
> >
> > A potomu - chtoby lyudi s etogo otdela ves' 2 m/b
> traffik
> > ineta ne sazhali
>
> Кажется, ты меня не понял.
> Обрати внимание на нумерацию этих двух правил - оба 55.
>
> Ко всему прочему, на всякий случай, я бы сделал так:
>
> add allow pipe 7 ip from 192.168.184.0/24 to any out xmit
> rl0
> add allow pipe 7 tcp from any to 192.168.184.0/24 in recv
> rl0 established
> add deny tcp from any to 192.168.184.0/24 in recv rl0
> add allow pipe 7 ip from any to 192.168.184.0/24 in recv
> rl0
>
> А почему ты все правила прописываешь в отдельной команде?
> Не проще ли создать файл с правилами и грузить его в ipfw?

Po povodu numeratsii - eto ne strashno, prosto pod odnim nomerom 2-a pravila. A pravila umenya hranyatsya /etc/rc.firewall. Ponimaesh, problema v tom, chto pakety idut tol'ko po pravilam s DIVERT, a po trubam dazhe hodit' ne pytayutsya=(((( I s lokalki rl1 ne pinganut'
А что в логах ipfw? 27.09.05 13:28  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Логи в субботу посмотрю, когда на сервак винт поставлю 27.09.05 16:52  
Автор: AleX-shl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А dummynet? 26.09.05 14:50  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Вообщем, ситуация следующая ->
> В локалке стоит внутренний сервак (ВС) с работающем DHCP, с
> помощью которого сеть офисса делится на 3 отдела:
> 192.168.188.xxx / 192.168.184.xxx / 192.168.187.xxx.
> Соответственно происходит динамическое распределение ip. В
> интет ходим через выделенку, локальная сеть скрывается
> внешним роутером на freebsd (ВР). ВР - имеет две сетевухи:
> rl0 - смотрит наружу, rl1 - в локалку напрямую во ВС. rl0
> -> 222.222.222.222, rl1 - 192.168.185.100
> (соответственно адрес интерфейса ВС - 192.168.185.200).
> В ядро вкомпилили: options IPFIREWALL, IPDIVERT...

А DUMMYNET?

> Ставлю свои правила (которые на старом роутере работали)
> -> капут:
> /sbin/ipfw flush
> /sbin/ipfw pipe 1 config bw 44Kbit/s delay 150ms
> /sbin/ipfw pipe 2 config bw 64Kbit/s delay 50ms
> /sbin/ipfw pipe 3 config bw 44Kbit/s delay 150ms
> /sbin/ipfw pipe 4 config bw 24Kbit/s delay 50ms
> /sbin/ipfw pipe 5 config bw 128Kbit/s delay 75ms
> /sbin/ipfw pipe 6 config bw 64Kbit/s delay 25ms
> /sbin/ipfw pipe 7 config bw 512Kbit/s delay 50ms
> /sbin/ipfw pipe 8 config bw 512Kbit/s delay 50ms
>
> /sbin/ipfw add 50 allow ip from any to any via lo0
> /sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
> /sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
> /sbin/ipfw add 200 allow ip from any to any via rl1
> /sbin/ipfw add 500 divert 8668 ip from 192.168.0.0/16 to
> any
> /sbin/ipfw add 600 allow ip from any to any out via rl0
> /sbin/ipfw add 800 divert 8668 ip from any to any via rl0
> /sbin/ipfw add 900 allow ip from any to any
> При этом машины с локалки не могут даже пингануть интерфейс
> rl1=(((((((

Дык. А что говорит /var/log/security ?
А ругается ли ipfw когда ты эти правила в него впихаваешь?
А какие каунтеры растут на рулесах (ipfw sh после 50-ти пингов на внутренний интерфейс)
В ядре все прописано 26.09.05 15:46  
Автор: AleX-shl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В ядре все прописано
По поводу логов в субботу скажу, когда на сервак винт с этим фрюком поставлю (на недели не смогу, т.к. контора работает, а инет всем нужен).
По поводу пингов - нет ответа.... Т.е. такое ощущение как буд-то файрвол отбрасывает, наверняка так оно и есть. Ведь с открытым типом пинги идут и инет ходит! Правила вроде верные прописаны, а получается так, что пакеты отбрасывает, хотя по правилам с divert пакеты бегают.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach