orachimary » 06 июл 2009, 12:55
options ipfirewall_nat
options libalias
NatIP="111.111.111.111"
ipfw nat 123 config ip ${NatIP} log
ipfw add 10 nat 123 ip from 192.168.0.0/16 to any
ipfw add 20 nat 123 ip from any to ${NatIP}
makky » 06 июл 2009, 13:39
orachimary писал(а):Народ! Объясните, может я чего не понимаю. Решил на новом шлюзе заюзать kernel nat. Собрал ядро с опциями:
Собрал, настроил ipfw по такому принципу:
- Код: Выделить всё
....
ipfw add 20 nat 123 ip from any to ${NatIP}
Но при таком раскладе получается, что не только разрешено натиться, но и весь доступ к внешнему ip. Как же тогда защититься?
P.S. До этого юзал IPdivert. не пинайте сильно. Может сам чего не догоняю.
buryanov » 06 июл 2009, 15:32
root » 06 июл 2009, 15:42
buryanov писал(а):а что мешает перез этим поставить запрещающие правила?
makky » 06 июл 2009, 16:30
. . .
deny_in
Deny any incoming connection from outside world.
. . .
unreg_only
Traffic on the local network not originating from an unregistered
address spaces will be ignored.${ipfw} nat 10000 config if rl0 log unreg_only reset
${ipfw} add 10010 nat 10 log ip4 from any to any via rl0#!/bin/sh
out_ip="ext_ip"
out_iface="rl0"
local_iface="rl1"
localnet="x.x.x.x/24"
#порты, которые разрешаем натить
tcp_services="21,22,25,80,110,143,443,1863,3389,5190"
ipfw="/sbin/ipfw"
#### flush rules ####
${ipfw} -f flush
${ipfw} -f pipe flush
${ipfw} -f queue flush
${ipfw} table 1 flush
#################
#разрешим ssh кому надо, можно целым подсетям
${ipfw} table 1 y.y.y.y
${ipfw} add 00300 pass all from "table(1)" to ${out_ip} 22 via rl0
${ipfw} add 00310 pass all from ${out_ip} 22 to "table(1)" via rl0
#пингу вечная свобода
${ipfw} add 01200 allow icmp from any to any
# разрешаем только соединения, которые уже установлены от нас (можно пользоваться keep-state)
${ipfw} add 1600 pass tcp from ${localnet} 1024-65535 to not ${localnet} ${tcp_services} via ${local_iface}
${ipfw} add 1700 pass tcp from not ${localnet} ${tcp_services} to ${localnet} 1024-65535 via ${local_iface} established
#тут прибиваем все что не натим действием "reset", чтобы клиент сразу обламывался и не рвал соединение по там-ауту
${ipfw} add 1800 reset log tcp from ${localnet} 1024-65535 to not ${localnet} via ${local_iface}
${ipfw} add 1900 reset log tcp from not ${localnet} to ${localnet} 1024-65535 via ${local_iface}
# тут даем доступ к внешним сервисам, в данном случае впн-сервер
${ipfw} add 5000 pass log tcp from any to ${out_ip} 1723 via ${out_iface}
${ipfw} add 5010 pass log tcp from ${out_ip} 1723 to any via ${out_iface}
#вот собственно нат
${ipfw} nat 10000 config if rl0 log unreg_only reset
${ipfw} add 10010 nat 10 log ip4 from any to any via rl0
# разрешим любые соединения от сервера
${ipfw} add 15050 pass log tcp from ${out_ip} 1024-65535 to any via ${out_iface}
${ipfw} add 15060 pass log tcp from any to ${out_ip} 1024-65535 via ${out_iface} established
#и дропнем все что не описано.
${ipfw} add 60000 reset log ip from any to any via rl0
buryanov » 06 июл 2009, 23:27
вот собственно нат
${ipfw} nat 10000 config if rl0 log unreg_only reset
${ipfw} add 10010 nat 10 log ip4 from any to any via rl0 Андрей » 07 июл 2009, 07:21
nat on em0 from 172.16.0.0/16 to any -> em0
#FireWall
device pf
device pflog
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
options ALTQ_NOPCC
makky » 07 июл 2009, 08:33
Андрей писал(а):Это мой pf.conf
- Код: Выделить всё
nat on em0 from 172.16.0.0/16 to any -> em0
а это в ядре:
- Код: Выделить всё
#FireWall
device pf
device pflog
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
options ALTQ_NOPCC
и все работает.
ИМХО, pf намного лучше, чем ipfw.
Хотя к то к чему привык.
Андрей » 07 июл 2009, 08:42
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37