Toon posts:

[ipnat / ipfilter] help?!

Pagina: 1
Acties:

woensdag 8 oktober 2003 15:43

Acties:
  • Sa1
  • Registratie: Oktober 2000
  • Laatst online: 21:09

Sa1

Topicstarter
ik draai al een geruime poos een server met freebsd 4.8, echter hangt deze server gewoon achter m'n router (alcatel v510i) en krijgt daar ook een dhcp adres van.

Onlangs heb ik bedacht dat het misschien beter zou zijn als deze freebsd server gewoon alles verzorgd, dus dhcp / dns / firewall / nat router. Ik ben wat gaan zoeken enzo, uiteindelijk heb ik de dhcp server en dns server werkend. Dns server wordt dynamisch geupdated enzo leuk leuk leuk... Ik heb dit getest door een extra netwerk kaart in m'n server te prakken, eigen ip adres .. crosslink kabeltje naar 2e netwerk kaart in m'n workstation.

toen werd het tijd voor ipfilter en ipnat werkend te krijgen, ik ben gaan zoeken en kwam http://www.obfuscation.org/ipf/ tegen, helemaal doorgenomen, hierna heb ik nog http://www.schlacter.dynd...-STABLE_and_IPFILTER.html doorgenomen. van deze laatste heb ik m'n configuratie overgenomen.

Alleen ik kan niet internetten via m'n tweede netwerk kaart in m'n workstation, wel als ik m'n proxy sever invoer bij internet explorer maarjah, dat is natuurlijk niet de bedoeling, dan zou namelijk alles over de proxy moeten lopen en dat sux imo.

Ik denk dus dat ik door al die bomen het bos verloren ben, mijn vraag is dus of iemand me weer een schop in de goede riching wilt geven, want ik begin me dood te staren op de configs e.d.

*knip*
PLZ CHECK DE 3E REPLY (sorry voor schreeuw, maar op de 3e reply staan dus m''n huidige configuraties..

xl0 heeft als ipadres 10.0.0.4, gekregen dus van de DHCP server in m'n alcatel.
xl1 heeft als ipadres 192.168.10.254 hard ingesteld,
client heeft 192.168.10.1 via dhcp server van m'n server, staat overigens vast op MAC adres.

De bedoeling is uiteindelijk dat ipc alles naar buiten mag, uiteraard niet dhcp echo's enzo, maar verder eigenlijk alles. Ik wil op de server een ftp server laten draaien die ook passive cons aan kan (dat lukt nu niet icm alcatel ding). Uiteraard is de server dus nog veel meer, ....

als er dus iemand is die iets meer weet, plz schop me op de goede weg.. :)

[ Voor 27% gewijzigd door Sa1 op 14-10-2003 11:53 ]

woensdag 8 oktober 2003 17:00

Acties:
  • Infern0
  • Registratie: September 2000
  • Laatst online: 16-03 23:51

Infern0

Hou die ontzettende rust!!

Verander je map regel eens in:
code:
1

map xl0 192.168.10.0/24 -> 10.0.0.4/32

Ipf wil nog wel eens de mist in gaan bij ip detectie

Werkt dat niet, zet dan eens je firewall uit
#ipf -Fa

NAT flushen met :
#ipnat -CF -f /etc/ipnat.rules

Hier staan ook nog aantal nederlanstalige howto's:
http://www.bsdfreaks.nl/index.php/front_howto/53/100
http://www.bsdfreaks.nl/index.php/front_howto/53/740
http://www.bsdfreaks.nl/index.php/front_howto/53/32
http://www.bsdfreaks.nl/index.php/front_howto/53/644

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

dinsdag 14 oktober 2003 11:51

Acties:
  • Sa1
  • Registratie: Oktober 2000
  • Laatst online: 21:09

Sa1

Topicstarter
Goed, ik heb dus 't een en 't ander aangepast middels die links die hier boven staan, er staat ook een setup script tussen, die heb ik dus laten draaien.

Nogmaals voor de duidelijkheid / volledigheid de situatie:

Op xl0 komt de internet kabel van de router binnen (alcatel v510i). De huidige router verzorgt nu nog het internet maar wil hem strax bridgen naar m'n freebsd‚ maar voordat ik dat doe moet hij wel goed werken.
xl0 heeft dus ip adres 10.0.0.4 gekregen van de dhcp server in de router‚ de router heeft ip adres 10.0.0.138.
Mijn client hangt nu met een crosslink kabel aan de freebsd‚ krijgt keurig een ipadres van freebsd maar verder niets.

Rc.conf ziet er als volgt uit (alleen wat van toepassing is):

code:
1
2
3
4
5
6
7
8
9
10

defaultrouter="10.0.0.138"
ipfilter_enable="YES"
ipnat_enable="YES"
gateway_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Dv -P /var/run/ipmon.pid /var/log/firewall.log"
ifconfig_xl1="inet 192.168.10.254 netmask 255.255.255.0"
ifconfig_xl0="DHCP"
ifconfig_lo0="inet 127.0.0.1"


Ipf.rules ziet als volgt uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

pass out quick on xl0 proto tcp from any to any flags S keep frags keep state
pass out quick on xl0 proto udp from any to any keep state keep frags
pass out quick on xl0 proto icmp from any to any keep state
block out quick on xl0 all

pass in log quick on xl0 proto udp from any to any port = 68 keep state

#active:
pass in quick on xl0 proto tcp from any to any port = 21 flags S keep frags keep state
#passive:
pass in quick on xl0 proto tcp from any to any port 49151 >< 65535 flags S keep state
pass in quick on xl0 proto tcp from any port = 20 to any port 8192 <> 16384 flags S keep state
pass in quick on xl0 proto tcp from any port = 20 to any port 32768 <> 40000 flags S keep state

#SSH and WebServer on respectively port 22 and 80
pass in quick on xl0 proto tcp from any to any port = 22 flags S keep frags keep state
pass in quick on xl0 proto tcp from any to any port = 80 flags S keep frags keep state

block in log quick on xl0 all

pass in quick on xl1 all
pass out quick on xl1 all

pass in quick on lo0 all
pass out quick on lo0 all


en IPnat.rules ziet er als volgt uit:

code:
1
2
3

map xl0 192.168.10.254/24 -> 0/32 proxy port ftp ftp/tcp
map xl0 192.168.10.254/24 -> 0/32 portmap tcp/udp auto
map xl0 192.168.10.254/24 -> 0/32


Feit blijft dat het nog niet werkt... heb deze vraag ook op bsdforum geplaatst, maar heb daar na drie dagen geen enkele reactie gehad. Vandaar dat ik het nog een keer hier probeer.

dinsdag 14 oktober 2003 12:57

Acties:
  • Infern0
  • Registratie: September 2000
  • Laatst online: 16-03 23:51

Infern0

Hou die ontzettende rust!!

Heb je het geprobeer zonder Firewall?
#ipf -Fa
en heb je het geprobeerd met die map regel die ik je aangaf.
Dus NIET 0/32 omdat de autodetectie nog wel eens faalt.

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

dinsdag 14 oktober 2003 16:01

Acties:
  • Sa1
  • Registratie: Oktober 2000
  • Laatst online: 21:09

Sa1

Topicstarter
zonder firewall werkt het evengoed niet, tenminste niet met oude, heb er nogniet aan gedacht om het met m'n nieuwe firewall te proberen.. om hem zeg maar uit te zetten, helaas zit ik nu remote dus moet ik even wachten tot ik vanavond thuis ben, dan zal ik het meteen even proberen.

dinsdag 14 oktober 2003 19:29

Acties:
  • Sa1
  • Registratie: Oktober 2000
  • Laatst online: 21:09

Sa1

Topicstarter
Goed, ipf staat nu uit, en heb het veranderd naar 10.0.0.4, mag beide niet baten :(

.. k snap het ook niet waarom hij het niet doet..

ik moet toch gewoon 192.168.10.254 als default gateway zeg maar voor m'n client?


meneer rlensen, ik heb uw hulp nodig :)

edit:\\

hums.. 't werkt toch wel, ook met ipfilter aan, ik kan alleen geen pings uitvoeren. ... vandaar dat ik waarschijnlijk dacht dat 't niet werkte.. noujah.. 't zal wel, de pings worden iig niet geblokkeerd door m'n firewall, waar dan wel door?

edit2:\\

namedb werkte niet.. mowhahahaa.. zucht..

<-- n00b

[ Voor 43% gewijzigd door Sa1 op 16-10-2003 09:26 ]

Pagina: 1
Reageer