IPFW a fwd
Zbyněk Burget
zburget at miastudio.cz
Fri Nov 26 07:53:06 CET 2004
Takto napsane pravidla pro firewall jsou dost neprehledne, i kdyz je
jich pomerne malo a abych pravdu rekl, dohledat kudy potece ktery packet
nebude prochazka ruzovym sadem. V prvni rade bych doporucil si
uvedomit, ze kazdy packet, ktery prochazi pres router, vstupuje do ipfw
dvakrat - poprve po pruchodu "vstupnim" adapterem, podruhe pred
pruchodem vystupnim adapterem. Velice se mi osvedcilo, kdyz jsem si na
zacatku seznamu pravidel udelal "rozhozeni" provozu pomoci skipto do
bloku podle adapteru a smeru toku packetu (napr.)
00100 skipto 1000 all from any to any in via rl0
00110 skipto 2000 all from any to any out via rl0
00120 skipto 3000 all from any to any in via rl1
00130 skipto 4000 all from any to any out via rl1
00140 deny all from any to any
no a do prislusnych ciselnych rozsahu pravidel mam napsane, co se ma na
danem adapteru v danem smeru s packetem provest. Dany blok vzdy konci
bud allow nebo deny all from any to any, aby se nestalo, ze se pri
prochazeni pravidel "zabloudi", kam nema. Pro hledani problemu a spatne
napsanych pravidel asi idealni reseni. Pravidla potom muzou byt
podstatne jednoduseji napsana.
...jeste jedna poznamka - psal jsem, ze packet vstupuje do firewallu
dvakrat - za jistych podminek do nej muze vstupovat i ctyrikrat. Ty
"jiste podminky" jsou tyto: pouziva se IPFW2 a sysctl
net.link.ether.ipfw=1 (default je 0). Pak kazdy packet do firewallu
vstupuje jeste pri pruchodu sitovou kartou v layer2.
Zbynek
Cizek Milan napsal(a):
>
> 00050 7668 3981493 divert 8668 ip from any to any via ed0
> 00100 12 1182 allow ip from any to any via lo0
> 00200 0 0 deny ip from any to 127.0.0.0/8
> 00300 0 0 deny ip from 127.0.0.0/8 to any
> 00800 3185 1095771 pipe 1 ip from any not 22,123,53,110,21,80,443,25,5190 to
> any out recv ed0 { xmit vr0 or xmit wi0 }
> 00810 3860 2741148 pipe 2 ip from any to any not dst-port
> 22,123,53,110,21,80,443,25,5190 out xmit ed0 { recv vr0 or recv wi0 }
> 00900 205 23228 pipe 3 not icmp from 10.0.0.0/8 to 10.0.0.0/8
> 01000 25 3794 allow ip from any to 10.0.254.2 via ed0
> 01100 26 1616 allow ip from any to 212.158.158.238 via ed0
> 01200 699 99370 allow ip from any to 10.0.1.20 in via ed0
> 01400 0 0 allow ip from any to 10.0.1.22 in via ed0
> ...
> 02900 0 0 allow ip from any to 10.0.4.20 in via ed0
> 02900 0 0 allow ip from any to 10.0.4.21 in via ed0
> 04900 307 220995 fwd 10.0.254.2,80 tcp from any to not 10.0.0.0/8 dst-port
> 80
> 05000 0 0 deny log ip from any to any in via ed0
> 65535 4446 2698044 allow ip from any to any
>
> Pri tomto nastaveni a s IP, ktera neni uvedena v zadnem allow mi kazda
> stranka krom intranetu hodi "not found".
>
> Milan
>
>
>
More information about the Users-l
mailing list