论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-04-16 18:48 |只看该作者 |倒序浏览

按照《利用FreeBSD保护好企业网络安全》讲述做了一个IPFW+NATD的网关
外网网卡：rl0
IP:220.xx.xx.11
别名：220.xx.xx.12
内网网卡：rl1
IP:192.168.0.254
别名：11.xx.x.1
WEB服务器IP为：11.xx.x.2
内网用户可以上外网，现在问题是内网中可以用域名或IP访问WEB，但外网不可以，甚至外网ping都ping不通外网网卡（即：我请朋友在外地ping220.xx.xx.11或12)
以下是IPFW.CONF文件：
#-------------NATD-------------
add 00400 divert natd all from any to any via any
#--------------------------
add 00001 deny log ip from any to any ipoptions rr
add 00002 deny log ip from any to any ipoptions ts
add 00003 deny log ip from any to any ipoptions ssrr
add 00004 deny log ip from any to any ipoptions lsrr
add 00005 deny tcp from any to any in tcpflags syn,fin
#-------------TCP-------------
add 10001 allow tcp from any to 220.xx.xx.12 80 in
add 10002 allow tcp from 220.xx.xx.12 80 to any out
add 10003 allow tcp from any to 11.xx.x.2 80 in
add 10004 allow tcp from 11.xx.x.2 80 to any out
add 10005 allow tcp from 192.168.0.99 to 11.xx.x.2 22 in
add 10006 allow tcp from 192.168.0.0/24 to 11.xx.x.2 20 in
add 10007 allow tcp from 11.xx.x.2 20 to 192.168.0.0/24 out
add 19997 check-state
add 19998 allow tcp from any to any out keep-state setup
add 19999 allow tcp from any to any out
#-------------UDP-------------
add 20001 allow udp from any 53 to me in recv rl0
add 29999 allow udp from any to any out
#-------------ICMP-------------
add 30000 allow icmp from any to any icmptypes 3
add 30001 allow icmp from any to any icmptypes 4
add 30002 allow icmp from any to any icmptypes 8 out
add 30003 allow icmp from any to any icmptypes 0 in
add 30004 allow icmp from any to any icmptypes 11 in
#-------------Lan-------------
# Enable lan user visit the internet
add 40000 allow all from 192.168.0.0/24 to any
add 40001 allow all from any to 192.168.0.0/24

以下是natd.conf文件内容：
redirect_port tcp 11.xx.x.2:80 220.xx.xx.12:80

请高手帮忙指出问题！

[ 本帖最后由 jxxfjun 于 2008-4-16 18:49 编辑 ]

文库|博客

lsstarboy

版主

论坛徽章:: 54

2楼 [报告]

发表于 2008-04-16 23:27 |只看该作者

dd 10001 allow tcp from any to 220.xx.xx.12 80 in
add 10002 allow tcp from 220.xx.xx.12 80 to any out

把这两句的序号改为300和301。

最好的办法还是把第一句改为15000。

PS:常ipfw -a list看一下，如果经常有规则的包数量为0,那么就可能有问题。
估计你的规则中应该有不少是常为零的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jxxfjun

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2008-04-17 09:04 |只看该作者

原帖由 lsstarboy 于 2008-4-16 23:27 发表

把这两句的序号改为300和301。

最好的办法还是把第一句改为15000。

PS:常ipfw -a list看一下，如果经常有规则的包数量为0,那么就可能有问题。
估计你的规则中应该有不少是常为零的。

谢谢你的回复,我照你的办法把第一句改为15000了,但还是不行!而且改了之后原先我在内网环境中可以访问WEB服务器的,现在也变得不行了

[ 本帖最后由 jxxfjun 于 2008-4-17 09:08 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

palwoo

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2008-04-18 17:13 |只看该作者

请参考：
http://bbs.chinaunix.net/thread-1079801-1-2.html
也是lsstarboy兄给指点帮助解决的。不过我因为是初学这个，一切从简，IPFW等于是全开放，没你的那么复杂。
等解决之后在这里写一下方案，让更多遇到相关问题的朋友参考参考。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jxxfjun

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2008-04-19 17:23 |只看该作者

谢谢各位的帮助,已经解决问题了,在后面加了两条:

add 40002 allow ip from 11.xx.x.0/28 to any
add 40003 allow ip from any to 11.xx.xx.0/28
add 40004 allow ip from 220.xx.xx.0/24 to any
add 40005 allow ip from any to 220.xx.xx.0/24

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 操作系统 › BSD › 请教IPFW+NATD问题

请教IPFW+NATD问题 [复制链接]