IPFW a fwd

Zbyněk Burget zburget at miastudio.cz
Fri Nov 26 07:53:06 CET 2004


Takto napsane pravidla pro firewall jsou dost neprehledne, i kdyz je 
jich pomerne malo a abych pravdu rekl, dohledat kudy potece ktery packet 
  nebude prochazka ruzovym sadem. V prvni rade bych doporucil si 
uvedomit, ze kazdy packet, ktery prochazi pres router, vstupuje do ipfw 
dvakrat - poprve po pruchodu "vstupnim" adapterem, podruhe pred 
pruchodem vystupnim adapterem. Velice se mi osvedcilo, kdyz jsem si na 
zacatku seznamu pravidel udelal "rozhozeni" provozu pomoci skipto do 
bloku podle adapteru a smeru toku packetu (napr.)

00100 skipto 1000 all from any to any in via rl0
00110 skipto 2000 all from any to any out via rl0
00120 skipto 3000 all from any to any in via rl1
00130 skipto 4000 all from any to any out via rl1
00140 deny all from any to any

no a do prislusnych ciselnych rozsahu pravidel mam napsane, co se ma na 
danem adapteru v danem smeru s packetem provest. Dany blok vzdy konci 
bud allow nebo deny all from any to any, aby se nestalo, ze se pri 
prochazeni pravidel "zabloudi", kam nema. Pro hledani problemu a spatne 
napsanych pravidel asi idealni reseni. Pravidla potom muzou byt 
podstatne jednoduseji napsana.

...jeste jedna poznamka - psal jsem, ze packet vstupuje do firewallu 
dvakrat - za jistych podminek do nej muze vstupovat i ctyrikrat. Ty 
"jiste podminky" jsou tyto: pouziva se IPFW2 a sysctl 
net.link.ether.ipfw=1 (default je 0). Pak kazdy packet do firewallu 
vstupuje jeste pri pruchodu sitovou kartou v layer2.

Zbynek




Cizek Milan napsal(a):
> 
> 00050 7668 3981493 divert 8668 ip from any to any via ed0
> 00100   12    1182 allow ip from any to any via lo0
> 00200    0       0 deny ip from any to 127.0.0.0/8
> 00300    0       0 deny ip from 127.0.0.0/8 to any
> 00800 3185 1095771 pipe 1 ip from any not 22,123,53,110,21,80,443,25,5190 to
> any out recv ed0 { xmit vr0 or xmit wi0 }
> 00810 3860 2741148 pipe 2 ip from any to any not dst-port
> 22,123,53,110,21,80,443,25,5190 out xmit ed0 { recv vr0 or recv wi0 }
> 00900  205   23228 pipe 3 not icmp from 10.0.0.0/8 to 10.0.0.0/8
> 01000   25    3794 allow ip from any to 10.0.254.2 via ed0
> 01100   26    1616 allow ip from any to 212.158.158.238 via ed0
> 01200  699   99370 allow ip from any to 10.0.1.20 in via ed0
> 01400    0       0 allow ip from any to 10.0.1.22 in via ed0
> ...
> 02900    0       0 allow ip from any to 10.0.4.20 in via ed0
> 02900    0       0 allow ip from any to 10.0.4.21 in via ed0
> 04900  307  220995 fwd 10.0.254.2,80 tcp from any to not 10.0.0.0/8 dst-port
> 80
> 05000    0       0 deny log ip from any to any in via ed0
> 65535 4446 2698044 allow ip from any to any
> 
> Pri tomto nastaveni a s IP, ktera neni uvedena v zadnem allow mi kazda
> stranka krom intranetu  hodi "not found".
> 
> Milan
> 
> 
> 




More information about the Users-l mailing list