proxy, interne firewallregeln

O

onegroup

Well-Known Member
Hallo,

ich habe das mit der ipfw2 und fwd probiert klappt ganz gut.

im Netz steht noch ein FBSD Server der geupdatet werden soll.

Meine Rules schauen für die FW und den Server so aus.


rl0 ist die interne Karte
inet ist 10.210.64.0/25



${fwcmd} add 00900 fwd 127.0.0.1,8080 tcp from any to me dst-port 80 in recv rl0

#tcp
${fwcmd} add 01000 allow tcp from { me or ${inet} } to 192.68.xx.xx 25 setup keep-state
${fwcmd} add 01001 allow tcp from { me or ${inet} } to 192.68.xx.xx 993 setup keep-state

${fwcmd} add 01200 allow tcp from { me } to any setup keep-state
${fwcmd} add 01300 allow tcp from 10.210.64.117 to any setup keep-state


kann ich das { me } so schreiben? Ich komme leider jetzt nicht zum ausprobieren.

Der Server (.117) und der Proxy (me) müssten jetzt doch als einzige mit allen Ports rauskommen können oder?


Grüsse

Steffen
 
Zuletzt bearbeitet:
onegroup schrieb:
Hallo,

ich habe das mit der ipfw2 und fwd probiert klappt ganz gut.

im Netz steht noch ein FBSD Server der geupdatet werden soll.

Meine Rules schauen für die FW und den Server so aus.


rl0 ist die interne Karte
inet ist 10.210.64.0/25



${fwcmd} add 00900 fwd 127.0.0.1,8080 tcp from any to me dst-port 80 in recv rl0

#tcp
${fwcmd} add 01000 allow tcp from { me or ${inet} } to 192.68.xx.xx 25 setup keep-state
${fwcmd} add 01001 allow tcp from { me or ${inet} } to 192.68.xx.xx 993 setup keep-state

${fwcmd} add 01200 allow tcp from { me } to any setup keep-state
${fwcmd} add 01300 allow tcp from 10.210.64.117 to any setup keep-state


kann ich das { me } so schreiben? Ich komme leider jetzt nicht zum ausprobieren.

Der Server (.117) und der Proxy (me) müssten jetzt doch als einzige mit allen Ports rauskommen können oder?


Grüsse

Steffen
Zum Vergrößern anklicken....

das geht nicht :(

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
01700 fwd 127.0.0.1,8080 tcp from any to me dst-port 80 in recv rl0
65000 allow ip from any to any
65535 deny ip from any to any

Ich komme mit 8080 auf den Proxy aber er forwardet nicht?

Grüsse

Steffen
 
Hallo,

nach dem ich keinerlei Antworten zum Thema ipfw kriege, Nun ein neuer Versuch.

Ich wollte heute früh die Firmenfw (FreeBSD 5.3 RC2) umstellen.

Habe es damit zuhause (FBSD 4.10 Stable mit ipfw2 und IPDIVERT) getestet und läuft einwandfrei:

Alle Anfragen vom Client auf Port 80 werden auf 8080 gemappt.

Der Rest Mail, ftp usw. klappt einwandfrei.

#!/bin/sh
fwcmd="/sbin/ipfw -q"
inet="10.210.64.0/24"

${fwcmd} -f flush

${fwcmd} add 00100 allow ip from any to any via lo0
${fwcmd} add 00500 check-state

${fwcmd} add 00200 deny ip from any to 127.0.0.0/8
${fwcmd} add 00300 deny ip from 127.0.0.0/8 to any
${fwcmd} add 00950 allow tcp from me to any
${fwcmd} add 00951 allow tcp from any to me dst-port 80
${fwcmd} add 00955 fwd 127.0.0.1,8080 tcp from 10.210.64.0/16 to any dst-port 80
${fwcmd} add 01500 allow tcp from ${inet} to any 53 setup keep-state
${fwcmd} add 01600 allow udp from ${inet} to any 53 setup keep-state
${fwcmd} add 65000 allow ip from any to any
Zum Vergrößern anklicken....


Bei der FBSD 5.2 RC2 hingegen funktioniert das Forwarding nur wenn ich z.b. http://217.12.3.11/ ausführe.
Mit DNS request kommst nichts beim Proxy (Squid) an.

Der Server hat eine feste ip (rl0) und intern 10.210.64.250 (rl1).

gateway_enable="YES"
natd_enable="yes"

Der Kernel hat:

options IPFIRWALL
options IPFIREWALL_FORWARD
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPV6FIRWALL
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT=100
options IP_STEALTH

Das Log sagt mir auch ipfw2, forward enable..

Daraufhin hatte ich es ohne IPDIVERT probiert weil NAT brauche ich eigentlich nichtmehr.

Folge:

Alle Clients kommen über 8080 ins Inet anstatt Port 80.
Verbindungen auf einen externen Mailserver 192.68. geht nichtmehr, ebensowenig FTP usw.

Da habe ich folgendes Probiert:

${fwcmd} add 00958 allow tcp from any to me dst-port 25
${fwcmd} add 00959 fwd 192.68.x.x,25 tcp from 10.210.64.0/16 to any dst-port 25

hilft aber auch nicht. Fehlanzeige.


Mit IPDIVERT kann der Proxy ausgestellt werden und alle Surfen ohne beschränkung!!

So langsam bin ich etwas gefrustet.. :huth: ;'(

Eventl hat einer von Euch ja das gleiche Problem.

Grüsse Steffen
 
sage mal...du hast be den kernel options nie ipfw2 genommen...
aber in der manpage von ipfw steht, dass ipfw derzeit nur bei current standart ist???

ach ja: wäre es nicht auch sinnvoller, wenn du vielleicht auch deine squid.conf posten würdest??
 
hi,

wie schon gesagt mit 4.10 stable und ipfw2 geht es ja. an squid kann es nicht liegen da das ja auch geht.


mit der 5.3 geht es im prinzip auch nur das keine ports rausgehen kein mail geht garnix nur squid port 80.

ohne natd gehts wohl überhauptnicht?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben