FreeBSD

kyzmi4 · Отправлено: **10:55, 31-03-2011** | #11

Цитата ashota:

Думаю, все что тут написано, ты с умом переведешь на свою систему, все должно работать. У меня работает. »

У меня тоже работает, спасибо. Конфиги выложил у себя http://kyzmi4-freebsd.livejournal.com/
А немоглибы еще показать ваши файлы зон.
Привел host, в ваш вид.
Сейчас меня ждет SQUID.

kyzmi4 · Отправлено: **12:16, 04-04-2011** | #12

Помогите в решении вопроса с IPFW.

Есть очевидное правило:

PHP код:


${fwcmd} add allow tcp from any to me dst-port 22

Я полагаю его выполнение, что все (0.0.0.0/0) могут подлючится ко мне на порту 22.
А вот фиг батенька, проходят три пакета и все, putty на ноутбуке сообщает Connection timed out.
tcpdump -ni xl0 port 22:

PHP код:


11:5719.713452 IP 192.168.1.10.8518 > 192.168.1.1.22: Flags [S], seq 1770059954, win 65535, options [mss 1460,nop,wscale 3,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], lenght 0

И так 3 раза, счетчик правила щелкает.
Также с правилом:

PHP код:


${fwcmd} add allow tcp from any to ${oip} 80 via fxp0

ОЧень долго мучался с DHCPD, победил.
rc.conf:

PHP код:


hostname="inet.fms"
keymap="ru.koi8-r.win"
font8x8="koi8-r-8x8"
font8x14="koi8-r-8x14"
font8x16="koi8-r-8x16"
keyrate="fast"
defaultrouter="21x.100.148.53"
firewall_enable="YES"
firewall_script="/etc/rc.firewall.my"
sshd_enable="YES"
named_enable="YES"
#named_flags="-u bind -g wheel"
apache22_enable="YES"
ifconfig_fxp0="inet 21x.100.148.54  netmask 255.255.255.252"
ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_ifaces="xl0"
squid_enable="YES"

rc.firewall.my:

PHP код:


#!/bin/sh -
fwcmd="/sbin/ipfw"
#Внешний
oif="fxp0"
oip="21x.100.148.54"

#Внутренний
iif="xl0"
iip="192.168.1.1"
MyLan="192.168.1.0/24"

${fwcmd} -f flush

#loop
${fwcmd} add allow all from any to any via lo0

#ICMP
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11

#SSH
${fwcmd} add allow tcp from any to me 22

#DNS
${fwcmd} add allow udp from any to any 53
${fwcmd} add allow udp from any 53 to any

#DHCP
${fwcmd} add allow udp from any to any 67 via ${iif}
${fwcmd} add allow udp from any 68 to any via ${iif}
${fwcmd} add allow udp from any 67 to any via ${iif}
${fwcmd} add allow udp from any to any 68 via ${iif}

#WWW
${fwcmd} add allow tcp from any to ${oip} 80 via ${oif}

#SQID
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${oif}

Про сквид я вообще пока не зарекаюсь.

Извините меня!
Должны быть правила для входящего и исходящего.
SSH дополнил:
${fwcmd} add allow tcp from me 22 to any И все заработало
WWW дополнил:
${fwcmd} add allow tcp from ${oip} to any via ${oif} И тоже все заработало.
Но все равно, мне кажется, что где-то проще можно сделать

dmitryst · Конфигурация компьютера

Цитата kyzmi4:

Но все равно мне кажется что гдето проше можно сделать »

Номера правил принято ставить явно

${FW} add 10 allow log tcp from any to me 22 via ${out_if}
${FW} add 11 allow tcp from me 22 to any via ${out_if}

например

kyzmi4 · Отправлено: **14:25, 04-04-2011** | #14

Да, да товарищь телепат. А еще у меня ядро собрано без IPFIREWALL_DEFAULT_TO_ACCEPT. Тобишь:
${fwcmd} add allow tcp from any to me 22, будет конектится в одну сторону, но обратно ответа не будет и получим Connection timed out.
Но если добавить правило ${fwcmd} add allow tcp from me 22 to any, то все заработает. Хотя почитав повнимательнее мануал, я узнал о функции keep-state. Но почемуто ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${oif} keep-state, не работает, то есть работает но страница пишет: Error The requested URL could not be retrieved, Система вернула: (13) Permission denied. Это пока главная задача.

dmitryst · Конфигурация компьютера

Цитата kyzmi4:

Но почемуто ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${oif} keep-state, не работает, то есть работает но страница пишет: Error The requested URL could not be retrieved, Система вернула: (13) Permission denied. Это пока главная задача. »

невнимательно мануал читали, товарищ коллега

Чтобы использовать keep-state, сначала надо определить правило с setup, а вот дальнейшие пакеты как раз и пойдут по правилу с keep-state (т.е. первый пакет смотрит правило с sеtup-ом, если все нормально, то в дальнейшем все пакеты этого сеанса идут по правилу с keep-state). Я динамическими правилами не пользуюсь, хватает обычных.

Цитата kyzmi4:

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${oif} keep-state, не работает »

уберите keep-state, тут он вообще не нужен

PS. нумерация правил таки хорошая вещь

kyzmi4 · Отправлено: **22:11, 04-04-2011** | #16

Цитата dmitryst:

уберите keep-state, тут он вообще не нужен »

Ну без него он вообще ничего не делал. ^_^ Теперь хоть страницу с ошибкой выдает.
А почему же у меня работает такое правило:
${fwcmd} add allow tcp from any to me 22 keep-state, а
просто ${fwcmd} add allow tcp from any to me 22 ужо не работает?

Делаю прокси прозрачным, с подключенной машины пытаюсь выйти в инет. Мне выдается

PHP код:


Error The requested URL could not be retrieved
Система вернула: (13) Permission denied.

А в cache.log пишет:

PHP код:


IpIntercept.cc(250) IpfInterception: NAT open failed : (2) No such file or directory.

В гугле искал, вроде нашел решение, но он не сработало.
https://wiki.andrewmercer.net/index....nsparent_Proxy
Там помогло, пересобрать сквид с поддержкой всех фаерволов.
Нат, не запущен, ибо пока он вообще не нужен. Настроен DHCP, DDNS, IPFW c правилом в конце deny all.

dmitryst · Конфигурация компьютера

Цитата kyzmi4:

Нат, не запущен, ибо пока он вообще не нужен. »

это как? ))) Что, прям вся сетка со своих 192,168,х,х ломится в интернет, что ли?

Цитата kyzmi4:

Делаю прокси прозрачным, с подключенной машины пытаюсь выйти в инет. Мне выдается »

дайте конфиг ipfw

kyzmi4 · Отправлено: **22:50, 04-04-2011** | #18

Цитата dmitryst:

это как? ))) Что, прям вся сетка со своих 192,168,х,х ломится в интернет, что ли? »

На прозрачный прокси ломится, кроме www им ничего не надо. (Я так сказал

) Конечно потом будет нат, но урезанно до почты и аськи например.

Товарищь телепат, время уже позднее, конфиги на сервере, по ssh у меня рут заблокирован, кофиг ipfw отказывается читаться. Приятного вам вечера с чаем за познанием не познанного. Утром обязательно скину

dmitryst · Конфигурация компьютера

Цитата kyzmi4:

На прозрачный прокси ломится, кроме www им ничего не надо. (Я так сказал ) Конечно потом будет нат, но урезанно до почты и аськи например. »

ну и как, по-вашему, из сети 192,168,1,0 комп пошлет пакет, скажем, 8,8,8,4 и примет его? (Хотя, спорить не буду, я уже тоже в отключке, завтра с утра вырублю НАТ и посмотрим, кто куда через прокси пойдет...)

Цитата kyzmi4:

Приятного вам вечера с чаем за познанием не познанного. »

спасибо, взаимно.

Цитата kyzmi4:

конфиги на сервере, по ssh у меня рут заблокирован, кофиг ipfw отказывается читаться. »

вот и оно, непознанное!

НЕ РАБОТАЙТЕ ОТ РУТА!!! Заведите себе пользователя с неадекватным логином и таким же паролем, пропишите в sudo.conf - и все. Зашел юзером, sudo -i - рут!

kyzmi4 · Отправлено: **10:49, 05-04-2011** | #20

Цитата dmitryst:

вот и оно, непознанное! НЕ РАБОТАЙТЕ ОТ РУТА!!! Заведите себе пользователя с неадекватным логином и таким же паролем, пропишите в sudo.conf - и все. Зашел юзером, sudo -i - рут! »

Не, я чего-то там в конфигах накосипорил. Вообщем хотел, чтобы залогинится можно только под юзером, а потом sudo и пароль рута ввести.

Цитата dmitryst:

завтра с утра вырублю НАТ и посмотрим, кто куда через прокси пойдет... »

Жду

Конфиги:
rc.firewall.my

PHP код:


#!/bin/sh -
fwcmd="/sbin/ipfw"
#Интернет
oif="fxp0"
oip="21x.100.148.54"

#Локалка
iif="xl0"
iip="192.168.1.1"
MyLan="192.168.1.0/24"

${fwcmd} -f flush
${fwcmd} add check-state

#Loop
${fwcmd} add allow all from any to any via lo0

#Я тут король
#${fwcmd} add allow tcp from me to any out via ${oif} setup keep-state uid root

#ICMP
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11

#SSH
${fwcmd} add allow tcp from any to me 22 keep-state

#DNS
${fwcmd} add allow udp from any to any 53
${fwcmd} add allow udp from any 53 to any

#DHCP
${fwcmd} add allow udp from any to any 67 via ${iif}
${fwcmd} add allow udp from any 68 to any via ${iif}
${fwcmd} add allow udp from any 67 to any via ${iif}
${fwcmd} add allow udp from any to any 68 via ${iif}

#WWW
${fwcmd} add allow tcp from any to ${oip} 80 via ${oif} keep-state
#${fwcmd} add allow tcp from ${oip} 80 to any via ${oif}

#SQID
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${iif} keep-state

#Iperf
${fwcmd} add allow tcp from any to me 5002 via ${oif}
${fwcmd} add allow tcp from me 5002 to any via ${oif}

Только не надо пристреливать меня сразу

rc.conf

PHP код:


hostname="inet.fms"
keymap="ru.koi8-r.win"
font8x8="koi8-r-8x8"
font8x14="koi8-r-8x14"
font8x16="koi8-r-8x16"
keyrate="fast"
defaultrouter="21x.100.148.53"
firewall_enable="YES"
firewall_script="/etc/rc.firewall.my"
sshd_enable="YES"
named_enable="YES"
#named_flags="-u bind -g wheel"
apache22_enable="YES"
ifconfig_fxp0="inet 21x.100.148.54  netmask 255.255.255.252"
ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_ifaces="xl0"
squid_enable="YES"

UPDATE:
после правила ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any 80 via ${iif}, добавил ${fwcmd} add allow all from any to any и все заработало. Но теперь получается я весь открыт. =\ Где то я пропустил образовательный процесс, ведь мне надо чтобы по умолчанию все закрыто было, вот и собрал без IPFIREWALL_DEFAULT_TO_ACCEPT, чтобы самому открыть все что надо.