Форум системного администратора FreeBSD, Linux, Unix, Windows.
Обсуждение железа, сетевых технологий, програмных комплексов и языков программирования.
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Форум системного администратора FreeBSD, Linux, Unix, Windows. → FreeBSD & BSD → IPFILTER проблемы
Есть сервак под фрибсд..
смотрит в инет msk0: 212.94.104.4
смотрит в сетку vr0: 10.0.1.2
Комп бухгалтера: 10.0.1.38
ПРоблема:
не работает банк-клиент..
он устанавливает UDP соединение с серваком 81.176.209.150 на порту 87
Что прописать в ipf.rules и ipnat.rules чтобы всё работало?...
банк-клиент по udp?
Да. Мне сказали что он на порту udp 87 создает VPN подключение и идет обмен данными.
Я отключил IPFILTER, поставил IPFIREWALL.
С ним тоже не получается пока ничего.
Вот утилита проверки настройки сетевого экрана:
_http://www.amicon.ru/download/TEST_Client.rar
77.108.111.100 - ip адрес сервера для проверки.
Надо чтобы она заработала.
Имеется комп бухгалтера. Пусть его ай пи будет таким: 10.0.1.93
Имеется сервак freebsd с тремя интерфейсами: ale0 - настроенный на инет (212.94.104.4)
vr0 - 10.0.1.2 - смотрит в подсеть работников (в т.ч. и бухгалтер)
vr1 - 10.0.0.2 - смотрит в подсеть ученического класса.
На серваке стоит IPWF сконфигурированный по умолчанию: allow all from any to any
Еще стоит squid. Слушает порт 8080.
Исходя из данных параметров надо сделать чтобы работал банк клиент.
А без фаервола НАТД работает?
Если нет, прописываем в /etc/rc.conf
gateway_enable="YES"
natd_enable="YES"
natd_interface="ale0"
и стартуем.
#/etc/rc.d/natd start
#sh /etc/rc.firewall
#ps awx | grep natd
Что выдает?
А без фаервола НАТД работает?
Если нет, прописываем в /etc/rc.confgateway_enable="YES"
natd_enable="YES"
natd_interface="ale0"и стартуем.
#/etc/rc.d/natd start
#sh /etc/rc.firewall
#ps awx | grep natdЧто выдает?
В rc.conf всё прописано.
natd уже запущен был.
при перезапуске выдал:
Starting natd.
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.soвсё.. приплыли...
при выполнении скрипта rc.firewall у меня всё отвалилось... (ssh (я ж из дома сижу)... сайт теперь тоже недоступен).
пойду завтра перезагружать.. сегодня уже поздно.. не охота..
Тогда точно ipfw не настроен.
Иначе должно было бы просто загрузить рули.
Что выдает
#ipfw show
Тогда точно ipfw не настроен.
Иначе должно было бы просто загрузить рули.
Что выдает
#ipfw show
Сейчас пойду на работу и погляжу. Правила то он, я так понимаю, загрузил... Но эти правила "не хорошие" ).. Блок всего кроме lo0 (я подозреваю)..
======= пару часов спустя =============
пришел на работу..
#ipfw list выдал deny ip from any to any ))) (это как раз таки после той команды: #sh /etc/rc.firewall).
#ipfw show показал:
номер правила число близкое к 10 000 000 число близкое к 46 000 000 deny ip from any to any
(маленькое отступление)
а что означают эти числа?.. я догадываюсь что это счетчики пакетов.. но каких именно?.
(вернемся к основной теме)
вот мой rc.conf
# Thu May 27 14:25:29 2010
# Created: Thu May 27 14:25:29 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
#Configure System
saver="fire"
keymap="ru.koi8-r"
hostname=aeli.altai.ru
inetd_enable="YES"
#ipfilter_enable="YES"
#ipfilter_rules="/etc/ipf.rules"
#ipnat_enable="YES"
#ipnat="/etc/ipnat.rules"
#Network configure
gateway_enable="YES"
#Network Sibirtelekom
ifconfig_ale0="inet 212.94.104.4 netmask 255.255.255.0"
defaultrouter="212.94.104.1"
#Network AELI Employes
ifconfig_vr0="inet 10.0.1.2 netmask 255.255.255.0"
#Network AELI Student
ifconfig_vr1="inet 10.0.0.2 netmask 255.255.255.0"
#Programm configure
squid_enable="YES"
apache_enable="YES"
sendmail_enable="YES"
sendmail_flags="-bd -q30m"
sshd_enable=YES
mysql_enable=YES
named_enable="YES"
#firewall_enable="YES"
natd_enable="YES"
natd_interface="ale0"
firewall_enable="YES"
firewall_type="/etc/ipfw.rules"ipfw.rules
-q flush
add allow all from any to anyЕще бы пинги пробросить.. (если адрес указан: 10.0.1.x либо 10.0.0.x то пинговать локальную сеть иначе перенаправлять пинг в интернет)
На сервере настроен кеширующий ДНС.
Под клиентами Win команда nslookup в cmd работает.
А вот как дело доходит непосредственно до пинга на конкретный ip то тут молчание... отпралено X получено 0 потеряно X. (разумеется, на самом сервере все работает отлично)
Добавлено: 05-01-2011 19:21:41
Пробовал "извращаться" с правилами по всякому. Не получалось.
пробовал прописывать так:
-q flush
add allow tcp from any to 81.187.209.150 87 out via ale0 setup keep-state
add allow tcp from any to 77.108.111.100 87 out via ale0 setup keep-state
add allow udp from any to 81.187.209.150 87 out via ale0 keep-state
add allow udp from any to 77.108.111.100 87 out via ale0 keep-state
add allow udp from any to 77.108.111.100 87 in via vr0 keep-state
add allow udp from 77.108.111.100 87 to any in via ale0 keep-state
add allow icmp from any to any out via ale0 keep-state
add allow icmp from any to any in via ale0
add allow all from any to anyвот такое не помогало.
поставил фаервол на win. и через него посмотрел куда и как ломится клиент тестовой программы.
он показал:
локальный адрес: мой ip
локальный порт: пятизначная цифра которая меняется при каждой попытке (49554)
что нам известно:
протокол udp
адрес отправителя - 10.0.1.93 бухгалтер (ну или любой комп - для "общего вида")
локальный порт - 40000-60000 диапазон портов. кстати, а диапазон может задаваться в правиле?
удаленный адрес - 77.108.111.100
удаленный порт - 87
пакет исходит из сетевухи бухгалтера с ip 10.0.1.93 (как я понял на порту в указанном диапазоне) и попадает в интерфейс (1 из 3х) сервака vr0 с ip 10.0.1.2 отсюда он должен быть перенаправлен на интерфейс ale0 смотрящий в интернет и оттуда уже должен пойти на указанный 77.108.111.100 87
правильный полет мысли?
если да, то как теперь это в кучу?...
Покажите, что в /etc/natd.conf
Примерно такое должно быть:
use_sockets yes
same_ports yes
unregistered_only yes
redirect_port tcp 10.0.1.93 :87 87
redirect_port udp 10.0.1.93 :87 87Пробросить порт в локалку на конкретный комп.
Покажите, что в /etc/natd.conf
Примерно такое должно быть:use_sockets yes same_ports yes unregistered_only yes redirect_port tcp 10.0.1.93 :87 87 redirect_port udp 10.0.1.93 :87 87Пробросить порт в локалку на конкретный комп.
У меня этого файла вообще нет. 
ankor пишет:Покажите, что в /etc/natd.conf
Примерно такое должно быть:use_sockets yes same_ports yes unregistered_only yes redirect_port tcp 10.0.1.93 :87 87 redirect_port udp 10.0.1.93 :87 87Пробросить порт в локалку на конкретный комп.
У меня этого файла вообще нет.
Создайте, в чём проблема?
Потом natd передернуть
#killall natd
#natd -f /etc/natd.conf -n ale0Покажите, что в /etc/natd.conf
Примерно такое должно быть:use_sockets yes same_ports yes unregistered_only yes redirect_port tcp 10.0.1.93 :87 87 redirect_port udp 10.0.1.93 :87 87Пробросить порт в локалку на конкретный комп.
У меня этого файла вообще нет.
в ipfw.rules прописал правило:
add allow udp from any to 77.108.111.100 87 via vr0
загрузил правила...
далее посмотрел статистику.. разумеется - по нолям (т.к. только загрузил)
попробовал подключиться тестовым клиентом - не получилось..
но возле нововведенного правила появилась статистика
1 60
после последующих попыток
2 120
3 180 и т.д.
что это за цифры?.. какая цифра за какие пакеты отвечает и что это значит? (понять не могу пока)...
Добавлено: 05-01-2011 22:32:55
создал.. перезапустил natd
не работает...
Оставте одно правило
add allow all from any to anyпробросте порты, а потом с фаерволом будите развлекаться.
Оставте одно правило
add allow all from any to anyпробросте порты, а потом с фаерволом будите развлекаться.
Файл создал. Правила убрал, кроме указанного. Не работает.
в natd.conf исправил кое что... локальный же порт меняется.. и если я правильно понимаю, то:
redirect_port tcp 10.0.1.93:40000-60000 87
redirect_port udp 10.0.1.93:40000-60000 87
Не работает.
Вопрос: а natd нужно указывать существование /etc/natd.conf ?..
Добавлено: 05-01-2011 22:44:12
Всё. Разобрался.
natd -f /etc/natd.conf
ankor пишет:Оставте одно правило
add allow all from any to anyпробросте порты, а потом с фаерволом будите развлекаться.
Файл создал. Правила убрал, кроме указанного. Не работает.
в natd.conf исправил кое что... локальный же порт меняется.. и если я правильно понимаю, то:redirect_port tcp 10.0.1.93:40000-60000 87
redirect_port udp 10.0.1.93:40000-60000 87Не работает.
Вопрос: а natd нужно указывать существование /etc/natd.conf ?..
Так надо:
redirect_port tcp 10.0.1.93:87 87
redirect_port udp 10.0.1.93:87 87Вы с внешнего мира пробрасываете в локалку 87 порт
#ipfw show
Покажет какие правила действуют
В /etc/rc.conf всё прописывается, я убежал домой 
Так надо:
redirect_port tcp 10.0.1.93:87 87
redirect_port udp 10.0.1.93:87 87Вы с внешнего мира пробрасываете в локалку 87 порт
#ipfw show
Покажет какие правила действуют
В /etc/rc.conf всё прописывается, я убежал домой smile
1)прописал.
2) frya# natd -f /etc/natd.conf
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
natd: instance default: aliasing address not given
3) frya# ipfw -a list
00100 12997 3092263 allow ip from any to any
65535 72 6908 deny ip from any to anyfrya# natd -f /etc/natd.conf
natd: instance default: aliasing address not given
Сетевуху указывать надо.
natd -f /etc/natd.conf -n ale0frya# natd -f /etc/natd.conf
natd: instance default: aliasing address not givenСетевуху указывать надо.
natd -f /etc/natd.conf -n ale0
выдал address already in use.
видимо он ругается на занятый им же сокет...
Если вы внесли изменения надо NAT передергивать
остановить
#killall natd
Стартануть
#natd -f /etc/natd.conf -n ale0
иначе смысла нет в этой команде .
Если вы внесли изменения надо NAT передергивать
остановить
#killall natd
Стартануть
#natd -f /etc/natd.conf -n ale0
иначе смысла нет в этой команде .
сделал. всё Ок.
но клиент так и не может подключиться.
превышено время ожидания ответа пишет.
в правилах - allow all from any to any
Сам NAT работает? Интернет через него есть?
Какие настройки у клиента, клиент через NAT ходить должен.
Как проверить работоспособность интернета?
Добавлено: 06-01-2011 01:44:04
Времени осталось немного. несколько дней. к понедельнику надо сделать. иначе будет скандал.
у меня время позднее.. голова не варит уже..
как настроить natd чтобы он раздавал интернет всем на "все" порты всех протоколов... чтобы интернет был 100% ?...
Ну вы блин и даёте!
С сервера ping rambler.ru
пинги есть, тогда Ctrl+Z
vr0 - 10.0.1.2 - смотрит в подсеть работников (в т.ч. и бухгалтер)На клиенте указать IP шлюза(у вас это 10.0.1.2 ), DNS
Ну вы блин и даёте!
С сервера ping rambler.ru
пинги есть, тогда Ctrl+Zvr0 - 10.0.1.2 - смотрит в подсеть работников (в т.ч. и бухгалтер)На клиенте указать IP шлюза(у вас это 10.0.1.2 ), DNS
С сервера пинги идут. Фаервол установил в режим OPEN. Перезапустил natd и ipfw.
На клиенте стоял шлюз 10.0.1.2
Добавил DNS 10.0.1.2
С клиента пингов нет. Ip сервера для пинга определяет, но сам пинг не идет. Превышено время и т.д.
Добавлено: 06-01-2011 12:11:58
И браузер тоже не работает.
Добавлено: 06-01-2011 12:22:38
У меня помимо всего этого стоит squid.
У меня запущено 2 браузера: IE - для экспериментов с НАТ. и Firefox настроенный под проксю для общения на форуме.
Как вариант: можно натом заворачивать пакеты в сквид?.. (хотябы на том порту который используется банк клиентом)
Добавил DNS 10.0.1.2
точно он у вас работает?
DNS поставте публичный 4.4.4.4
Покажите вывод ipfw show полностью, у вас должна быть строка
примерно такая:
00050 123472402 91596776824 divert 8668 ip from any to any via em0если нет добавить в правила
ipfw add 50 divert natd all from any to any via ale0Как вариант: можно натом заворачивать пакеты в сквид?.. (хотябы на том порту который используется банк клиентом)
Натом нельзя, фаерволом можно.
точно он у вас работает?
С клиентской машины из cmd выполнил nslookup на произвольные сервера... google.ru mail.ru... ip высветились.
DNS поставте публичный 4.4.4.4
А что это даст? Если 4.4.4.4 не пингуется с клиента?....
Покажите вывод ipfw show полностью, у вас должна быть строка
примерно такая:
00050 123472402 91596776824 divert 8668 ip from any to any via ale0
ipfw show
00100 1606 621410 divert 8668 ip from any to any via msk0
00200 7971 2446226 allow ip from any to any
65535 1300 87191 deny ip from any to anyФорум системного администратора FreeBSD, Linux, Unix, Windows. → FreeBSD & BSD → IPFILTER проблемы
Форум работает на PunBB, при поддержке Informer Technologies, Inc
Currently installed 13 official extensions. Copyright © 2024 PunBB.