2 RAVEN
Приветствую ) все таки остановился на твоем решении с дивертом... кое где поправил, кое где добавил )))
вопрос таков... появился человечик который ходит в обход прокси... никак не могу закрыть 80 порт, если убрать правило 040 то через прокси не идет инет... не поможешь???? Пасибо заранее
IPFW + kernel NAT
-
Raven
- Бородатый сис
- Сообщения: 2800
- Зарегистрирован: 03 мар 2010, 15:12
- ОС: RHEL 8
- Откуда: Из серверной
Re: IPFW + kernel NAT
kotig
Ну показывай свой набор правил, а там думать будем)))
Ну показывай свой набор правил, а там думать будем)))
Я не злопамятный, я просто часто ковыряю логи
Re: IPFW + kernel NAT
Код: Выделить всё
#!/bin/sh
ipfw -q -f flush
IPFW="ipfw add"
SKIP="skipto 800"
EXT="vr0"
INT="rl0"
GOOD="1433,21,1434,1000,25,80,110,9030,9032,9039,9050-9060,40000-60000"
${IPFW} 005 allow all from any to any via rl0
${IPFW} 010 allow all from any to any via lo0
${IPFW} 014 divert natd ip from any to any in via ${EXT}
${IPFW} 015 check-state
${IPFW} 16 allow ip from any to any via lo0
${IPFW} 17 allow ip from any to any via tun0
${IPFW} 18 allow ip from any to any via ${INT}
${IPFW} 020 ${SKIP} udp from any to any 53 via ${EXT}
${IPFW} 022 ${SKIP} udp from any 53 to any via ${EXT}
${IPFW} 023 ${SKIP} udp from any to me 1194 via ${EXT}
${IPFW} 024 ${SKIP} udp from me to any 1194 via ${EXT}
${IPFW} 023 ${SKIP} udp from any to any 1434 via ${EXT}
${IPFW} 024 ${SKIP} udp from any 1434 to any via ${EXT}
${IPFW} 040 ${SKIP} tcp from any to any ${GOOD} out via ${EXT} setup keep-state
${IPFW} 080 ${SKIP} icmp from any to any out via ${EXT} keep-state
${IPFW} 110 ${SKIP} tcp from any to any 22 out via ${EXT} setup keep-state
${IPFW} 315 deny tcp from any to any 113 in via ${EXT}
${IPFW} 330 deny all from any to any frag in via ${EXT}
${IPFW} 332 deny tcp from any to any established in via ${EXT}
${IPFW} 400 deny log all from any to any in via ${EXT}
${IPFW} 450 deny log all from any to any out via ${EXT}
${IPFW} 800 divert natd ip from any to any out via ${EXT}
${IPFW} 801 allow ip from any to any
${IPFW} 999 deny log all from any to any
-
Raven
- Бородатый сис
- Сообщения: 2800
- Зарегистрирован: 03 мар 2010, 15:12
- ОС: RHEL 8
- Откуда: Из серверной
Re: IPFW + kernel NAT
Попробуй так:
Сквид нужно собрать с поддержкой прозрачности и добавить директиву
http_port 3129 transparent после http_port 3128
Так ipfw будет заворачивать все пакеты на порты 80,21,443 на порт сквида и соответственно все пойдет через него
Код: Выделить всё
#!/bin/sh
ipfw -q -f flush
IPFW="ipfw add"
SKIP="skipto 800"
EXT="vr0"
INT="rl0"
GOOD="1433,21,1434,1000,25,80,110,9030,9032,9039,9050-9060,40000-60000"
${IPFW} 005 allow all from any to any via rl0
${IPFW} 010 allow all from any to any via lo0
${IPFW} 014 divert natd ip from any to any in via ${EXT}
${IPFW} 015 check-state
${IPFW} 16 allow ip from any to any via lo0
${IPFW} 17 allow ip from any to any via tun0
${IPFW} 18 allow ip from any to any via ${INT}
${IPFW} 020 ${SKIP} udp from any to any 53 via ${EXT}
${IPFW} 022 ${SKIP} udp from any 53 to any via ${EXT}
${IPFW} 023 ${SKIP} udp from any to me 1194 via ${EXT}
${IPFW} 024 ${SKIP} udp from me to any 1194 via ${EXT}
${IPFW} 023 ${SKIP} udp from any to any 1434 via ${EXT}
${IPFW} 024 ${SKIP} udp from any 1434 to any via ${EXT}
${IPFW} 060 ${SKIP} tcp from any to any ${GOOD} out via ${EXT} setup keep-state
${IPFW} 080 ${SKIP} icmp from any to any out via ${EXT} keep-state
${IPFW} 110 ${SKIP} tcp from any to any 22 out via ${EXT} setup keep-state
${IPFW} 315 deny tcp from any to any 113 in via ${EXT}
${IPFW} 330 deny all from any to any frag in via ${EXT}
${IPFW} 332 deny tcp from any to any established in via ${EXT}
${IPFW} 400 deny log all from any to any in via ${EXT}
${IPFW} 450 deny log all from any to any out via ${EXT}
${IPFW} 700 add fwd 127.0.0.1:3129 tcp from 192.168.0.0/24(или какая там у тебя подсеть) to any 80,21,443 via ${EXT}
${IPFW} 800 divert natd ip from any to any out via ${EXT}
${IPFW} 801 allow ip from any to any
${IPFW} 999 deny log all from any to anyhttp_port 3129 transparent после http_port 3128
Так ipfw будет заворачивать все пакеты на порты 80,21,443 на порт сквида и соответственно все пойдет через него
Я не злопамятный, я просто часто ковыряю логи
Re: IPFW + kernel NAT
fwd не проконает... стоит SAMS + NSCA, читал где то, что такое не проконает
Re: IPFW + kernel NAT
или проконает??? ))))
-
Raven
- Бородатый сис
- Сообщения: 2800
- Зарегистрирован: 03 мар 2010, 15:12
- ОС: RHEL 8
- Откуда: Из серверной
Re: IPFW + kernel NAT
хм... добавь для того чела авторизацию по ip в сквид - проканает. И локалхост не забудь.kotig писал(а):NSCA
Я не злопамятный, я просто часто ковыряю логи
Re: IPFW + kernel NAT
))))) так у этого чела нет постоянной жопа сидки ))))) он гуляет и сидит где хочет
Re: IPFW + kernel NAT
я бы остался на старом ядреном нате... в связи с установкой Выннь 7 пришлось перейти на эти правила... так как 7-ка говорит что нет подключения к Интернет и никуда не идет хотя все прописано и шлюз и днс, все пингует к проксе подключается, а вот нет подключения к бд серверу на беом адресе... сантабарбара йопта )