https://www.opennet.ru/openforum/vsluhforumID10/5591.html Приветствую форумчане!<br>Прошу помощи в FreeBsd есть довольно много вопросов касательно Ipfw.<br>1. Нужно ли пересобрать ядро в FreeBSD 13 чтобы включить поддержку ipfw?<br>В 9 версии пересобрал с такими параметрами:<br># ipfw<br>options IPFIREWALL<br>options IPFIREWALL_NAT<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=10<br>options LIBALIAS<br>options DUMMYNET<br>options ROUTETABLES=2<br><br>Нужно ли сейчас так заморачиваться?<br><br>2. Верно ли я понимаю при параметре options IPFIREWALL_NAT, Nat работает ядерно, а при options DIVERT работает через демон Natd?<br><br>3. Нужно ли включать в ядре options LIBALIAS при ядерном нате на FreeBsd 13?<br><br>4. Если у кого то есть пример правил с сетью DMZ скиньте пожалуйста не совсем понимаю реализацию в плане правил.<br>Спасибо.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#11 Thu, 03 Jun 2021 11:04:16 GMT из того, что вижу (и на что рекомендую обращать внимание в будущем при написании) - выводы того, что мы хотим (в скрипте) и того, что получаем - отличаются. и это сразу повод смотреть в отличия более внимательно :)<br><br>плюс, если разбить правило ната на несколько, будет проще по счетчикам смотреть, что и как. ну и для упрощения понимания можно первыми ставить правила ната на уходящий от нас трафик, а потом в конце обрабатывать входящий - можно будет отказаться от skip<br><br>$int_lan="192.168.0.0/16"<br><br>ipfw nat 10 config if $net deny_in same_port reset<br>ipfw nat 20 config if $net redirect_port tcp 192.168.2.31:21 21 192.168.2.31:20 20 192.168.2.31:30000-31000 30000-31000<br>ipfw nat 30 config if $net redirect_port tcp 192.168.2.60:25 25<br>ipfw nat 40 config if $net redirect_port tcp 192.168.1.58:443 443<br><br><br>#-------rules network -------<br>#allow networks<br>$cmd 0001 allow all from any to any via $lan<br># а имеет ли смысл правило 2 ? дмз же нужна, что бы изолировать сервисы, а вы разрешаете все - по хорошему вам надо р https://www.opennet.ru/openforum/vsluhforumID10/5591.html#10 Tue, 01 Jun 2021 05:44:09 GMT &gt; и еще вывод команд ipfw show и ipfw nat show config <br><br>gate-01:~ # ipfw show<br>00001 88144381 64989212950 allow ip from any to any via em1<br>00002 2620 136240 allow ip from any to any via em2<br>00003 31867890 18506893372 allow ip from any to any via tun0<br>00004 678 171322 allow ip from any to any via lo0<br>00010 21442036 10416892137 allow udp from any to me 1194<br>00011 23334762 15556716106 allow udp from me 1194 to any<br>00020 0 0 deny ip6 from any to any<br>00021 0 0 deny udp from any to any 546<br>00022 0 0 deny udp from any to any 547<br>00040 35883220 43530335534 nat 1 ip from any to any in via em0<br>00050 0 0 check-state :default<br>00060 49399902 43171443857 skipto 2000 tcp from any to any out via em0 setup keep-state :default<br>00061 6522916 3133645162 skipto 2000 udp from any to any out via em0 keep-state :default<br>00062 1778 241239 skipto 2000 icmp from any to any out via em0 keep-state :default<br>00070 5673 3 https://www.opennet.ru/openforum/vsluhforumID10/5591.html#9 Tue, 01 Jun 2021 05:38:16 GMT &gt;&gt; Проблема в том что не работает редирект и не работает <br>&gt;&gt; ftp из интернета по адресу 1.1.1.1 (вымышленный) <br>&gt;&gt; Схема <br>&gt;&gt; https://ibb.co/BghYSMt <br>&gt; и gateway_enable="yes" в /etc/rc.conf есть?<br>&gt; ps. у вас там правила ната не совсем корректно прописаны, но точнее <br>&gt; скажу, когда вы приведете вывод ipfw <br>&gt; и gateway_enable="yes" в /etc/rc.conf есть?<br><br>Есть <br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#8 Mon, 31 May 2021 14:39:17 GMT &gt; Проблема в том что не работает редирект и не работает <br>&gt; ftp из интернета по адресу 1.1.1.1 (вымышленный) <br>&gt; Схема <br>&gt; https://ibb.co/BghYSMt <br><br>и gateway_enable="yes" в /etc/rc.conf есть?<br><br>ps. у вас там правила ната не совсем корректно прописаны, но точнее скажу, когда вы приведете вывод ipfw <br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#7 Mon, 31 May 2021 14:14:20 GMT и еще вывод команд ipfw show и ipfw nat show config<br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#6 Mon, 31 May 2021 08:57:39 GMT &gt; как уже сказали выше, нет, не нужно - все можно загрузить модулям <br>&gt; kldload ipfw, ipfw_nat (модуль libalias подгрузится самостоятельно) - только осторожно <br>&gt; - по умолчанию ipfw закрыт - deny all from any to <br>&gt; any <br>&gt; 2. не совсем - модули могут быть загружены и одновременно. divert просто <br>&gt; перенапрявляет пакеты демону natd <br>&gt; 3. нет <br>&gt; 4. схему приложи - накидаю примерно <br><br>Приложил <br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#5 Thu, 27 May 2021 10:52:12 GMT Проблема в том что не работает редирект и не работает ftp из интернета по адресу 1.1.1.1 (вымышленный)<br>Схема<br>https://ibb.co/BghYSMt<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5591.html#4 Thu, 27 May 2021 10:42:16 GMT Сейчас конфиг такой:<br>rc.conf<br>Internet <br>ifconfig_em0="inet 1.1.1.1 netmask 255.255.255.248" <br>Alias internet ftp <br>ifconfig_em0_alias0="inet 1.1.2.1 netmask 255.255.255.255" <br>Local Network <br>ifconfig_em1="inet 192.168.1.10 netmask 255.255.255.0" <br>DMZ <br>ifconfig_em2="inet 192.168.2.10 netmask 255.255.255.0" <br><br>Правила<br><br>#!/bin/sh <br><br>#reset rules <br>ipfw -q -f flush <br><br>#-------main network-------<br>#macro <br>net="em0" <br>lan="em1" <br>dmz="em2" <br>cmd="ipfw -q add" <br>skip="skipto 2000" <br><br>#kernel nat 1 config <br>ipfw -q nat 1 config if $net same_ports unreg_only \ <br>redirect_port tcp 192.168.2.31:21 21 \ <br>redirect_port tcp 192.168.2.31:20 20 \ <br>redirect_port tcp 192.168.2.31:30000-31000 30000-31000 \ <br>redirect_port tcp 192.168.1.58:443 443 \ <br>redirect_port tcp 192.168.2.60:25 25 <br><br>#-------rules network ------- <br>#allow networks <br>$cmd 0001 allow all from any to any via $lan <br>$cmd 0002 allow all from any to any via $dmz <br>$cmd 0004 allow all from any to any via lo0 <br><br>#kernel https://www.opennet.ru/openforum/vsluhforumID10/5591.html#3 Tue, 25 May 2021 13:36:42 GMT как уже сказали выше, нет, не нужно - все можно загрузить модулям<br><br>kldload ipfw, ipfw_nat (модуль libalias подгрузится самостоятельно) - только осторожно - по умолчанию ipfw закрыт - deny all from any to any<br><br>2. не совсем - модули могут быть загружены и одновременно. divert просто перенапрявляет пакеты демону natd <br><br>3. нет<br><br>4. схему приложи - накидаю примерно<br>