31. marts 2002 - 18:04Der er
22 kommentarer og 1 løsning
FreeBSD som gateway og firewall
Hejsa
Jeg har nu siddet og kigget og læst og prøvet på at konfigurere en gateway samt firewall. Jeg har prøvet diverse linux distributioner samt FreeBSD.
Jeg er kommet så langt at jeg har kunne få en e-smith til at køre som gateway på mit netværk men....
Lige lidt specs. omkring mit netværk.
Jeg har en server kørende som web-, mail-, og ftp server. Denne har en lokal ip adresse svarende til dens eksterne ip adresse. Dette er pga. at jeg har fået 16 faste ip adresser fra RIPE og at min router "bare" router dem igennem til lokalnetværket.
Dette gør jo selvfølgelig at jeg lige nu ingen sikkerhed har samt at jeg i realiteten kun kan have 16 server ud mod internettet.
Det som jeg gerne vil have er en gateway som kan omdanne min eksterne ip til en intern ip. Jeg har prøvet med e-smith men den tillod ikke at gatewayens ip blev routet videre til min server. Dette gjorde at når man gik på mit website så fik man fat i gatewayen og ikke serveren.
Er der nogle der kan hjælpe eller henvise til en god guide.
Er det forstået rigtigt når jeg siger at du vil lave en box med tre net(inet, LAN og DMZ) ? Og at du har en røvfuld faste ip adr. som du gerne vil have mappet direkte ind til DMZ'en?
Jeg må indrømme at da klokken var 3 i nat var jeg nået til at have kompilet disse linjer ind i ernen. options IPFILTER options IPFILTER_LOG options IPFILTER_DEFAULT_BLOCK
derudover havde jeg addet dette til min ipf.rules:
Det at du ikke kan pinge inet - kan være fordi din egen firewall ikke tillader icmp trafik. Du er på rigtige vej - du skal "natte" dine interne ip til dine externe ip'er - men det bliver svært at styre når de er de samme - det nemmeste er, at have helt andre adresser internt og kun lade gateway maskinen have den rigtige ip ud mod internet - sæt nu din gateeway op til at køre en firewall og nat adresserne gennem den. (gateway burde i så fald være din *BSD maskine
Jeg har nu prøvet med din howto skwat men den hjalp mig desværre ikke på nuværende tidspunkt. Efter jeg havde fulgt den og genstartet så prøvede jeg at ping inet fra gatewayen (*BSD maskinen) men den meldte tilbage at det "måtte" den ikke;-)
Jeg prøver nu lige at reinstallere boxen også følger jeg din howto igen.
Skal jeg skrive: natd_flags="-redirect_address [192.168.1.2] [217.157.xxx.xxx]
ind i min rc.conf ????? 192.168.1.2 = serveren ip 217.157.xxx.xxx = serveren ip udaftil
Der er hul igennem!!! Når jeg skriver ipfw show skriver den:
00050 774 313740 divert ip from any to any via fxp0 (mit netkort til ydersiden) 00100 80 4752 allow ip from any to any vi lo0 (det må næsten være mit loopback net) 00200 0 0 allow ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 1649 636864 allow ip from any to any 65535 0 0 deny ip from any to any
Som sagt så er jeg på efter jeg havde reinstalleret min box og fulgt din howto skwat. Så er næste opgave bare at få nat´ed min ip udaftil (217.157.xxx.xxx) med portene 21, 25, 80, 110 hen til ip 192.168.1.2 (serveren). Hvis jeg prøver at gå på min (yderside ip eks. web) så giver den intet svar fra sig. Jeg prøvede med natd_flags="-redirect_address 192.168.1.2 217.157.xxx.xxx" men den hjalp heller ikke. Det skal være sådan at når min yderside ip får et request på port 21,25,80,110 så skal den nat´es ned på serverens ip.
Ja jeg er glad, men det er kun den ene af de 13 ip adresser som bliver routet. Det forstår jeg egentlig godt eftersom at det kun er den ip som mit netkort på ydersiden af gatewayen, som jeg kan bruge lige nu. Det er altså den som min web, ftp og mailserver kører på. Hvad skal jeg gøre for at få dem alle routed/nattet ind på indersiden af gatewayen/firewallen.
Ok det vil jeg prøve men hvad skal jeg binde de resterende 12 ip´er til. Den første er jo bundet til ydersiden af firewallen (mit netkort på ydersiden). Jeg har læst et andet sted på eksperten at du skriver at det er fedt med tre netkort i en gateway. Hvorfor det??
Det er en god ide fordi du så kan have tre net Inet, her hvor vi er nu DMZ, serverparken, som i at her kan du ikke lave voldige firewallregler LAN, dem der gerne må http'e
Jeg fatter ikke hvor meget du har til at virke, gatewayen køre, eller? Har du fået nattet den e ip igennem?
HEH jeg undskylder hvis jeg har forklaret mig lidt utydeligt. Jeg har fra min ISPs side fået "tildelt" 16 ip´er. 3 af dem går til broadcast/netværk/gateway(routeren). deraf har jeg ip range fra xxx.xxx.xxx.130-143. Mit netkort mod inet(ydersiden)i FreeBSD boxen har ip´en xxx.xxx.xxx.130 og den er så nattet sådan at min server med ip 192.168.1.2 modtager alle request som skulle komme på port 21,25,80,110.
Men jeg mangler stadig at få resten af de 13 ip´er ind på den anden side af min *BSD gateway/firewall.
PIIIIIIIIIS !!! Hehe jeg kom til at trykke på afvis, det er jo ikke som i windåse hvor den spørger om man er helt sikker 10 gange. Lav et svar og så accepterer jeg (hvis jeg kan ramme)
Nej kun med den ip som jeg også har angivet på gatewayen udaftil altså 130. der mangler stadig 131- 143.
MVH Kristian
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
