|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Fatykhov 2:5020/400 25 Aug 2004 13:58:28
To : All
Subject : Проблема с фильтующим мостом
--------------------------------------------------------------------------------
Привет.
Подсобите _правильно_ составить список правил для фильтрующего моста на
FreeBSD 5.2.1.
значит имеется:
реальная подсеть x.x.x.224/28
две сетевые, объеденённые в мост-
- rl0 (c адрсеом x.x.x.226, смотрит наружу)
- rl1 (без адреса, смотрит внутрь)
на этой машине стоит почта, веб и днс сервер.
требуется разрешать всё исходящее из подсети, а входящие только ответы на
запросы из подсети, ну и доступ по 25, 80, (53?) на x.x.x.226
ядро пересобрал с опциями
options BRIDGE
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPV6FIREWALL
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options DUMMYNET
options IPSTEALTH
options TCPDEBUG
options SC_DISABLE_REBOOT
options SC_NO_HISTORY
options SC_DISABLE_DDBKEY
options TCP_DROP_SYNFIN
в sysctl.conf вписал
net.link.ether.bridge.enable=1
net.link.ether.bridge_ipfw=1
net.link.ether.bridge.ipfw=1
net.link.ether.bridge.config=rl0:0,rl1:0
net.inet.ip.fw.enable=1
net.inet.ip.fw.one_pass=0
в фаере сейчас такое, но мне не нравится что то
allow icmp from any to any
allow udp from any to any dst-port 53
allow udp from any 53 to any
allow tcp from any to x.x.x.226 dst-port 80
allow tcp from x.x.x.226 80 to any
allow tcp from any to x.x.x.226 dst-port 25
allow tcp from x.x.x.226 25 to any
allow ip from any to any via lo0
allow ip from x.x.x.224/28 to any
allow tcp from any to x.x.x.224/28 in established via rl0
allow udp from any to x.x.x.224/28 in established via rl0
deny log ip from any to any
но оно как то сранно работает...
например адрес вводим, он думает долго и не может открыть страницу, раза 2-3
скажешь перегрузить и опа - загружается...
при этом в security падает такое:
Aug 25 12:56:49 gate kernel: ipfw: 65534 Deny MAC in via rl1
Aug 25 12:57:21 gate last message repeated 11 times
Aug 25 12:58:40 gate last message repeated 7 times
Aug 25 12:58:44 gate kernel: ipfw: 65534 Deny MAC in via rl0
а если перед последним deny впихнуть такое
pass log all from any to any
то работает без таких проблем (или они редки), однако снаружи к нам на любую
машину и на любой адрес можно произвести соединение и пишет такое:
Aug 25 13:00:13 gate kernel: ipfw: 65533 Accept MAC in via rl0
Aug 25 13:00:31 gate kernel: ipfw: 65533 Accept MAC in via rl1
что за ерунда и как сделать что мне требуется???
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
