/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Højest besynderlig opførsel firewall..
Fra : Dennis Pedersen

Dato : 26-11-01 14:36
Hej!
Jeg har gransket i et par dage over et problem jeg har med en lille firewall
der router mellem 3ip net, hvoraf de 2 er lokale og det sidste vender ud mod
internettet.
Umiddelbart ser de regler rigtigt ud og jeg skulle have tilladt det fornødne
med alligevel så dør mit ene ip net på lan siden efter 10minutter (og det er
konsekvent efter 10minutter), hvis jeg flusher alle mine firewall regler så
virker det igen.
Umiddelbart så kan jeg kommet frem til at det evt kan være maskinen er for
lille, eller også har jeg misset et eller andet vitalt i mine firewall
regler.

Mit 192.168.2.0/24 er det net der vender op imod internet siden (ja jeg ved
godt det er at gå med bukser,seler og livrem men nok om det ;))
192.168.10.0/24 sidder bagved en NT4 server med 2netkort der router fra det
ene net til det andet.

192.168.10.0/24->NT4(ip : 192.168.1.100)->switch->firewall (hvor route add
192.168.10.0/255.255.255.0 192.168.1.100 er sat)

Det er det net der sidder bagved min NT4 maskine der mister forbindelsen
efter godt 10minutter af årsager det ikke har lykkedes mig at foreklare!
Men så snart jeg flusher mine regler så er der hul igennem igen :(...
Angående hardwaren så kan jeg sige det er en 486/66/32 med 2x3com isa
netkort.
Maskinen servicerer cirka 10computere på en 2048/512, så er det vitterlig
den der er roden til alt ondt?


/Dennis


rc.firewall:
/sbin/natd -interface ep1 -redirect_port tcp 192.168.10.100:3389 3389

fwcmd="/sbin/ipfw"

inet="192.168.1.0"
inet1="192.168.10.0"
imask="255.255.255.0"
iip="192.168.1.1"

onet="192.168.2.0"
omask="255.255.255.0"
oip="192.168.2.10"

#Tillad trafik fra denne maskine og nettet
$fwcmd add 100 pass all from ${iip} to ${inet}:${imask}
$fwcmd add 110 pass all from ${inet}:${imask} to ${iip}
$fwcmd add 120 pass all from ${oip} to ${onet}:${omask}
$fwcmd add 130 pass all from ${onet}:${omask} to ${oip}
$fwcmd add 131 pass all from ${iip} to ${inet1}:${imask}
$fwcmd add 134 pass all from ${inet1}:${imask} to ${iip}
$fwcmd add 132 pass all from ${inet}:${imask} to ${inet1}:${imask}
$fwcmd add 133 pass all from ${inet1}:${imask} to ${inet}:${imask}
$fwcmd add 001 allow all from 192.168.1.1 to any
$fwcmd add 002 allow all from any to 192.168.1.1
$fwcmd add 150 pass all from ${iip} to ${inet1}:${imask}
$fwcmd add 170 pass all from ${inet1}:${imask} to ${iip}

#Hvis der er en forbindelse maa denne bruges
$fwcmd add 200 skipto 1000 tcp from any to any established

#Tillader forbindelse paa de specificerede porte
$fwcmd add 300 skipto 1000 tcp from ${inet}:${imask} to any 23 setup
$fwcmd add 310 skipto 1000 tcp from ${inet}:${imask} to any 53 setup
$fwcmd add 320 skipto 1000 tcp from ${inet}:${imask} to any 80 setup
$fwcmd add 330 skipto 1000 tcp from ${inet}:${imask} to any 25 setup
$fwcmd add 340 skipto 1000 tcp from ${inet}:${imask} to any 110 setup
$fwcmd add 342 skipto 1000 tcp from any 20 to any 30000-63000 setup
$fwcmd add 344 skipto 1000 tcp from any 20 to any 1024-4096 setup

$fwcmd add 350 skipto 1000 tcp from ${inet}:${imask} to any 20 setup
$fwcmd add 360 skipto 1000 tcp from ${inet}:${imask} to any 21 setup
$fwcmd add 370 skipto 1000 tcp from ${inet}:${imask} to any 119 setup
$fwcmd add 380 skipto 1000 tcp from ${inet}:${imask} to any 443 setup
$fwcmd add 392 skipto 1000 tcp from ${inet}:${imask} to any 1433 setup
$fwcmd add 390 skipto 1000 tcp from any to any 3389 setup

$fwcmd add 301 skipto 1000 tcp from ${inet1}:${imask} to any 23 setup
$fwcmd add 311 skipto 1000 tcp from ${inet1}:${imask} to any 53 setup
$fwcmd add 321 skipto 1000 tcp from ${inet1}:${imask} to any 80 setup
$fwcmd add 331 skipto 1000 tcp from ${inet1}:${imask} to any 25 setup
$fwcmd add 341 skipto 1000 tcp from ${inet1}:${imask} to any 110 setup
$fwcmd add 351 skipto 1000 tcp from ${inet1}:${imask} to any 20 setup
$fwcmd add 361 skipto 1000 tcp from ${inet1}:${imask} to any 21 setup
$fwcmd add 371 skipto 1000 tcp from ${inet1}:${imask} to any 119 setup
$fwcmd add 381 skipto 1000 tcp from ${inet1}:${imask} to any 443 setup
$fwcmd add 394 skipto 1000 tcp from ${inet1}:${imask} to any 1433 setup

#UDP trafik
$fwcmd add 400 skipto 1000 udp from any 53 to any
$fwcmd add 410 skipto 1000 udp from any to any 53
$fwcmd add 485 skipto 1000 udp from any to any 119
$fwcmd add 486 skipto 1000 udp from any 119 to any
$fwcmd add 487 skipto 1000 udp from any to any 443
$fwcmd add 488 skipto 1000 udp from any 443 to any
$fwcmd add 490 skipto 1000 udp from any 3389 to any
$fwcmd add 495 skipto 1000 udp from any to any 3389
$fwcmd add 498 skipto 1000 udp from any 1433 to any
$fwcmd add 499 skipto 1000 udp from any to any 1433

#icmp
$fwcmd add 500 skipto 1000 icmp from any to any


#Stop alt som ikke er skippet til regel 1000
$fwcmd add 900 deny all from any to any

#NAT det som er tilladt af tidligere regler.
$fwcmd add 1000 divert natd all from any to any via ep1
$fwcmd add 1100 pass all from any to any

rc.conf

ifconfig_ep0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_ep0_alias0="192.168.1.101 netmask 255.255.255.0"
ifconfig_ep1="inet 192.168.2.100 netmask 255.255.255.0"
hostname="hostname.dk"
linux_enable="NO"
gateway_enable="YES"
defaultrouter="192.168.2.1"
router_flags="-q"
router="routed"
router_enable="YES"
firewall_enable="YES"
sendmail_enable="NO"
inetd_enable="NO"
route add 192.168.10.0/255.255.255.0 192.168.1.100








 
 
Søg
Reklame
Statistik
Spørgsmål : 177513
Tips : 31968
Nyheder : 719565
Indlæg : 6408604
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.