Архив форумов ЦИТФорума

[hub]

Привет !
Есть сервер с ФриБСД , две сетевые карты.Есть Бинд.
Помогите с правилом ipfw.
Трафик http я на проксю завернул
${fwcmd} add allow tcp from ${NetInIP}/${NetMask} to proxy.LALALA.ru 3128
${fwcmd} add allow tcp from proxy.LALALA.ru 3128 to ${NetInIP}/${NetMask}
Хочу завернуть и ФТП-траффик.Пишу правило.
${fwcmd} add fwd proxy.LALALA.ru 3128 tcp from ${NetInIP}/${NetMask} to any ftp
При загрузке пишет пишет - ipfw:missing 'from'
Вместо доменного имени пробовал и IP-адрес(а) , и локалхост писать -
результат один о тот же.
Когда перекомпилировал ядро , то опцию ИП-Форвард указывал.
Подскажите чего-нибудь.
Заранее благ.

[crash]

[a-m-d]

По поводу двух правил, которыми ты "завернул http-трафик". Тут ты немного заблуждаешься. Ты РАЗРЕШИЛ ВЕСЬ ТСР-трафик из сетки ${NetInIP}/${NetMask} на порт 3128 прокси и от прокси 3128 в эту сетку. Любая прога (в т.ч. и ftp-клиент) может инициировать tcp-соединение с портом 3128 лалала. Конкретно про http тут ничего нет. Видимо, где-то ниже ты просто запретил другие http-соединения (или просто денай все) из этой сетки. Это ИМХА, причём глубокая.

to crash:
от спасибо-то! Тоже воевал с fwd, а запятую-то как-то не приметил. Хотел уже к вопросу присоединится... Нафига, спрашивается, делать такме финты в синтаксисе: в "других местах" ipfw запятая означает (ИМХО) перечисление однородных параметров, а тут отделяет порт от адреса? Вопрос риторичесий. ответа не требует.

[hub]

2crash
Спасибо за запятую.Все равно не ходят фтп-запросы.И мыло вроде поставил anonymous@LALALA.ru .
2a-m-d
ну конечно запретил прямые запросы )) DENY DENY DENY !!!!!

[a-m-d]

Клиент-то может ломится на лалала 3128.
А вот ждут ли его там? Прокси настроен проксить ftp?

[hub]

acl ftp proto ftp
http_access allow ftp
Все равно не работает.
ftp_passive on (off) пробовал - не работает.

[a-m-d]

Честно говоря, "меня терзают смутные сомнения" по поводу твоих правил. Хотя crash, однозначно разбирающийся в этом лучше меня, никаких замечаний не давал...

Сомнения вот в чем:
указанными в самом начале двумя правилами ты разрешил прохождение любых tcp-пакетов между ... ну ты понял, да? В том числе и от ftp-клиента. Зачем еще форвардить? Или (вроде твои похожие темы были) для веб ты хочешь, чтобы у клиентов был-таки в свойствах браузера явно указан прокси лалала и мимо него никуда, а для фтп прокси должен быть прозрачным?

В общем случае, для работы FTP ИМХО надо:
allow tcp from изнутри 21 to наружу (дополнить via по вкусу)
allow tcp from снаружи 20 to внутрь (дополнить via по вкусу)
allow tcp established

Первые два правила тебе нужно обыграть через прокси. Второе требуется для "активного" клиента. Третье, опять-таки ИМХО, позволяет не прописывать для установившихся соединений "дорогу назад"
Помимо этого хорошо б чтоб dns еще работал, если клиенту по имени общаться требуется.

Вот. Коллективный разум поправит, если я заблудЮсь.

[Dmitry.Karpov]

Первый возможный источник проблем: неправильно установленные переменные окружения. Дай команду
echo ${fwcmd} add fwd proxy.LALALA.ru 3128 tcp from ${NetInIP}/${NetMask} to any ftp
и убедись, что она всё вывела правильно.

Вторая засада ещё хуже: протокол FTP в принципе не допускает прозрачного проксирования. Оно доступно только для Name-based протоколов: HTTP (кроме самых древних), SMTP, DNS; и невозможен для FTP, Telnet, SSh - в ходе работы они просто не передают информацию, по которой Proxy может понять, к кому идёт обращение.

В принципе, это можно решить, если не форвардить пакеты, а дивертить; беда в том, что Proxy-серверы пока ещё не научены слушать divert sockets.

PS: Всё вышенаписанное есть IMHO.
_________________
Благословен Бог, сотворивший меня сисадмином!

[hub]

Пишу обо всем по порядку.
Есть выделенка.Есть компьютер с 3 NIC и ОС ФриБСД4.9.Есть арендованное доменное имя.Поднят Бинд,работает почта,антивирус.
Есть два сегмента локальной сети,там работают пользователи.Надо , чтобы пользователи ходили через кеширующий прокси-сервер Сквид.
Надо прописать пользователям в настройках Сетевого Окружения - IP-адрес,шлюз,ДНС-сервер.Надо прописать в Иксполере - proxy.LALALA.ru . Клиенты не то чтоб тупые , но есть одни хитро..(умные) , которые могут и напрямую , без прокси , поставить соединение , Но есть клиенты , которым нужно один раз прописать и все .Объснения , типа , для ФТП пользуйтесь тем и тем и пропишите там вот так - не канают.Поэтому , компилируем ядро с опциями
options IP_FIREWALL
options IP_DIVERT
options DUMMYNET
Пишем в rc.conf
gateway_enable="YES"
и т.д.
Пишем такой фаревол скрипт и ссылаемся на него в rc.conf.
fwcmd="/sbin/ipfw -q"
#outside
LanOut="rl0"
IPOut="XXX.XXX.XXX.XXX"
NetOut="YYY"
MaskOut="ZZZ.ZZZ.ZZZ.ZZZ"
#inside 1
LanIn1="rl1"
IPIn1="192.168.1.1"
NetInIP1="192.168.1.0"
NetInMask="24"
MaskIn="255.255.255.0"
#inside 2
LanIn2="rl2"
IPIn2="192.168.2.1"
NetInIP2="192.168.2.0"
#sbros
${fwcmd} -f flush
#
${fwcmd} add pass all from any to any via lo0
#
${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${LanOut}
#
${fwcmd} add allow tcp from ${NetInIP1}/${NetInMask} to proxy.LALALA.ru 3128 via ${LanIn1}
${fwcmd} add allow tcp from proxy.LALALA.ru 3128 to ${NetInIP1}/${NetInMask} via ${LanIn1}
#
${fwcmd} add allow tcp from ${NetInIP2}/${NetInMask} to proxy.LALALA.ru 3128 via ${LanIn2}
${fwcmd} add allow tcp from proxy.LALALA.ru 3128 to ${NetInIP2}/${NetInMask} via ${LanIn2}
#
${fwcmd} add fwd proxy.LALALA.ru,3128 tcp from ${NetInIP2}/${NetInMask} to any ftp via ${LanIn2}
#NAT
${fwcmd} add divert natd ip from ${NetInIP1}/${NetInMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from ${NetInIP2}/${NetInMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
#
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}
#Zapret
${fwcmd} add deny tcp from any to any 20,21,22,23,3128 in via ${LanOut}
${fwcmd} add deny tcp from any to any 20,21,22,23,80,443 in via ${LanIn1}
${fwcmd} add deny tcp from any to any 20,21,22,23,80,443 in via ${LanIn2}
${fwcmd} add deny tcp from any to any 8000-8104 in via ${LanIn1}
${fwcmd} add deny tcp from any to any 8000-8104 in via ${LanIn2}
#Почта,Аська,Днс
${fwcmd} add pass tcp from any to any 25,110,5190 via ${LanOut}
${fwcmd} add pass tcp from any 25,110,5190 to any via ${LanOut}
${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}
#
${fwcmd} add pass all from any to any via ${LanIn1}
${fwcmd} add pass all from any to any via ${LanIn2}
#www my
${fwcmd} add pass tcp from ${IPOut} 80 to any via ${LanOut}
${fwcmd} add pass tcp from any to ${IPOut} 80 via ${LanOut}
#icmp
${fwcmd} add allow icmp from any to ${IPOut} in via ${LanOut} icmptypes 0,3,4,11,12
${fwcmd} add allow icmp from any to ${NetInIP1}/${NetInMask} in via ${LanOut} icmptype 0,3,4,11,12
${fwcmd} add allow icmp from any to ${NetInIP2}/${NetInMask} in via ${LanOut} icmptype 0,3,4,11,12
${fwcmd} add allow icmp from ${IPOut} to any out via ${LanOut} icmptype 3,8,12
${fwcmd} add allow icmp from ${IPOut} to any out via ${LanOut} frag
${fwcmd} add deny log all from any to any via ${LanOut}
${fwcmd} add deny log ip from any to any

Хочу сказать,что все работает , кроме ФТП.
Вот.Что написано в Сквиде , я уже писал выше .
Опять повторюсь , что надо : набрать у клиента в Иксплорере ftp.freebsd.org , и чтоб отображалась страничка. Не меняя настроек Иксплорера (proxy.LALALA.ru), набрать www.freebsd.org , и чтоб отображалась страничка.

[crash]

может я не прав, но по умолчанию фаервол настроен все закрывать..
отсюда вопрос нахрена туеву кучу лишних запрещающих правил созадавать..
если у нас настроено все закрыто то нам надо только указать что мы открываем...
если не прав, то исправьте.

[hub]

Согласен,в моей работе были недостатки.
Деточкин.
Так как насчет ФТП?