Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall solaris 10 x86 / 18 сообщений из 18, страница 1 из 1
21.03.2007, 19:16:13
    #34407108
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
начал разбираться с firewall ( основа solaris 10 x86)

вот тут похоже на то что хотелось бы сделать

а именно с сети класса С видеть машины подсети класса А
и что то с налета не прошло


1.нужен ли тут NAT
2.верно ли копаю


http://www.obfuscation.org/ipf/ipf-howto.pdf

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
# ipfstat -io
pass out quick all
pass in quick all
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"



 192 . 168 . 100 . 113  -------/elxl0 Ipf iprb0/------- 10.5.158.241


и при этом ping c   192 . 168 . 100 . 113  на   10 . 5 . 158 . 241 
не проходит.


кто по расскажет
с уважением ко всем .... ))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.03.2007, 20:24:32
    #34407221
бу-бу
бу-бу
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
вот
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.03.2007, 21:40:15
    #34407313
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
начал писать ответ, потом подумал, действительно прочитайте сцылку на пост выше, у вас все неправильно...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 11:48:06
    #34408114
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
эта ссылка мной происследована!


ося!
а что всё неправильно ?

судя по этой ссылке и по показанному мною выводу того что
там описывается


Код: plaintext
1.
2.
3.
4.
5.
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled

кроме того заслуживает ли по Вашему мнению
комментарий к статье ?

а вот то что я исполнял..... и результат

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
# ndd -set /dev/ip ip_forwarding  0 
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              disabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"
# ndd -set /dev/ip ip_forwarding  1 
# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
            IPv4 forwarding   enabled              enabled
               IPv4 routing   default (disabled)   disabled
            IPv6 forwarding   disabled             disabled
               IPv6 routing   disabled             disabled

        IPv4 routing daemon   "/usr/sbin/in.routed"
   IPv4 routing daemon args   ""
   IPv4 routing daemon stop   "kill -TERM `cat /var/tmp/in.routed.pid`"
        IPv6 routing daemon   "/usr/lib/inet/in.ripngd"
   IPv6 routing daemon args   "-s"
   IPv6 routing daemon stop   "kill -TERM `cat /var/tmp/in.ripngd.pid`"


# ndd -set /dev/ip ip_forwarding  2 
operation failed: Invalid argument
что то есть у меня сомнения по коректности этой ссылочки ...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 12:26:11
    #34408301
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ultras...

0. я туплю или вы сами на себя пытаетесь пинговать? как тады выглядит ваша команда?
1. ip forwarding флаг имеет два значение 1 и 0 -- нужно в 1 (как и было)
2. ifconfig -a на этом хосте
3. netstat -rn на этом хосте
4. ifconfig-и 192.168.100.113 и 10.5.158.241
5. nat не нужен
6. фаэрвол хорошо, но не обязательно если это доверенные внутренние сети, можно на уровне маршрутизации все сделать.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 12:42:00
    #34408368
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
начну с ответа по 6 пункту

это внутренние сети на которых провожу исследование для переноса решения
в открытую сеть

кроме того хочу всё же использовать фильтрацию для того чтобы даже во внутренней сети
исключить хулиганство по нежелательным портам

например позволить ходить только на порт 22

ifconfig'и счас дошлю
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 12:53:51
    #34408415
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
по 0 вопросу

нет не сам на себя

это конфигурация solaris


Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
# ifconfig -a
lo0: flags= 2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu  8232  index  1 
        inet  127 . 0 . 0 . 1  netmask ff000000 
elxl0: flags= 1100843 <UP,BROADCAST,RUNNING,MULTICAST,ROUTER,IPv4> mtu  1500  index  2 
        inet  10 . 5 . 158 . 245  netmask fffffe00 broadcast  10 . 5 . 159 . 255 
        ether  0 : 1 : 2 :cd:eb:ae 
iprb0: flags= 1100843 <UP,BROADCAST,RUNNING,MULTICAST,ROUTER,IPv4> mtu  1500  index  3 
        inet  192 . 168 . 100 . 102  netmask ffffff00 broadcast  192 . 168 . 100 . 255 
        ether  0 : 4 :ac: 18 :6d:1d


а

192.168.100.113
10.5.158.241

это хосты подлюченные к в хабы с интерфейсами solaris'а
понятно или подробнее нарисовать ?


ping запускается с хоста 192.168.100.113
ping 10.5.158.241
или
ping 10.5.158.245 на второй интерфейс solaris'a
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 12:55:32
    #34408420
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ultrasначну с ответа по 6 пункту

это внутренние сети на которых провожу исследование для переноса решения
в открытую сеть

кроме того хочу всё же использовать фильтрацию для того чтобы даже во внутренней сети
исключить хулиганство по нежелательным портам

например позволить ходить только на порт 22

ifconfig'и счас дошлю

а ну тогда вам нужен и нат и фаэрволъ. я бы отдельно взглянул на фичи по отсеканию всякого сканирующего траффика -- обрезание фрагментов, несовместимых tcp флагов и т.п. -- это все есть в описании к ipfw и pf, с легкостью портируется на ipf.
Что у вас есть эмулируемый тырнет?
Кстати, в правила надо будет потом занести все private сети согласно IANA, запретив их появление на внешнем интерфейсе, при вашем тестировании это можно незаметить...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 12:56:36
    #34408425
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
по 3-ему

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
# netstat -rn

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
 192 . 168 . 100 . 0          192 . 168 . 100 . 102       U          1      201   iprb0
 10 . 5 . 158 . 0             10 . 5 . 158 . 245          U          1      828   elxl0
 224 . 0 . 0 . 0              10 . 5 . 158 . 245          U          1        0   elxl0
default               10 . 5 . 158 . 1            UG         1      249   
 127 . 0 . 0 . 1              127 . 0 . 0 . 1             UH        353882988   lo0
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 13:01:33
    #34408440
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
Ося
Что у вас есть эмулируемый тырнет?





хехе!!!
найдется ...

Ося
Кстати, в правила надо будет потом занести все private сети согласно IANA, запретив их появление на внешнем интерфейсе, при вашем тестировании это можно незаметить...

согласен.
но это на этапе построения правил.
как я понимаю
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 13:08:58
    #34408468
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ifconfig -a на 113 и 241


не путаюсь ли я в broadcast'ах ?

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
на  113 

eth0      Link encap:Ethernet  HWaddr  00 : 90 : 96 :1A:B3:FB  
          inet addr: 192 . 168 . 100 . 113   Bcast: 192 . 168 . 100 . 255   Mask: 255 . 255 . 255 . 0 
          inet6 addr: fe80:: 290 :96ff:fe1a:b3fb/ 64  Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU: 1500   Metric: 1 
          RX packets: 89  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 76  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 1000  
          RX bytes: 8308  ( 8 . 1  KiB)  TX bytes: 8578  ( 8 . 3  KiB)
          Interrupt: 10  Base address:0xee00 

lo        Link encap:Local Loopback  
          inet addr: 127 . 0 . 0 . 1   Mask: 255 . 0 . 0 . 0 
          inet6 addr: :: 1 / 128  Scope:Host
          UP LOOPBACK RUNNING  MTU: 16436   Metric: 1 
          RX packets: 1659  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 1659  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 0  
          RX bytes: 1832652  ( 1 . 7  MiB)  TX bytes: 1832652  ( 1 . 7  MiB)

sit0      Link encap:IPv6-in-IPv4  
          NOARP  MTU: 1480   Metric: 1 
          RX packets: 0  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 0  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 0  
          RX bytes: 0  ( 0 . 0  b)  TX bytes: 0  ( 0 . 0  b)


на  241 

# ifconfig -a
lo0: flags= 1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu  8232  index  1 
        inet  127 . 0 . 0 . 1  netmask ff000000 
hme0: flags= 1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu  1500  index  2 
        inet  10 . 5 . 158 . 241  netmask fffffe00 broadcast  10 . 5 . 159 . 255 
        ether  8 : 0 : 20 :c1:9a:a
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 13:53:34
    #34408677
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ultras Ося
Что у вас есть эмулируемый тырнет?





хехе!!!
найдется ...



блин, какая сеть у вас в кач-ве тырнета используется? :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 13:54:05
    #34408680
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
автор
192.168.100.113
10.5.158.241

это хосты подлюченные к в хабы с интерфейсами solaris'а
понятно или подробнее нарисовать ?

теперь понятно, картиног не надо , спасибо :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 13:58:21
    #34408698
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ultrasifconfig -a на 113 и 241



сорри, забыл "netstat -rn" на обоих хостах скажите, конфигурация интерфейсов вроде здоровая...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 17:05:06
    #34409438
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
Ося ultras Ося
Что у вас есть эмулируемый тырнет?





хехе!!!
найдется ...



блин, какая сеть у вас в кач-ве тырнета используется? :)



в кач-ве внешней сетки 192.

но как я понимаю это будет важно уже тогда когда я начну рисовать
правила, предполагая где же всё же сторона врага
так, нет?

поэтому я полагал что тут не важно - да хоть 10.

проблема в том что нет прохождения пакетов
10. -> 192.
и
192. -> 10.

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
fedora core  4 


Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
 192 . 168 . 100 . 0     0 . 0 . 0 . 0           255 . 255 . 255 . 0    U          0   0            0  eth0
 169 . 254 . 0 . 0       0 . 0 . 0 . 0           255 . 255 . 0 . 0      U          0   0            0  eth0




solaris  9  sparc 

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
 10 . 5 . 158 . 0             10 . 5 . 158 . 241          U          1     1855   hme0
 224 . 0 . 0 . 0              10 . 5 . 158 . 241          U          1        0   hme0
default               10 . 5 . 158 . 1            UG         1     1495   
 127 . 0 . 0 . 1              127 . 0 . 0 . 1             UH        18     1876   lo0


thanks...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 17:17:54
    #34409496
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
ultras....


на FC cкажи:
Код: plaintext
1.
2.
route add default gw  192 . 168 . 100 . 102 
echo GATEWAY= 192 . 168 . 100 . 102  >> /etc/sysconfig/network-scripts/eth0


на Sol скажи:
Код: plaintext
1.
2.
3.
route delete default   10 . 5 . 158 . 1  
route delete default   10 . 5 . 158 . 245  
echo  10 . 5 . 158 . 245  > /etc/defaultrouter

ЗЫ хорошая практика маршрутизатору назначать последний (не броадкаст ессн) адрес подсети
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 17:19:22
    #34409502
Ося
Ося
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
Код: plaintext
FIX

на Sol скажи:
Код: plaintext
1.
2.
route  add default  10 . 5 . 158 . 245

описка вышла -- два раза delete написал
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
22.03.2007, 18:39:00
    #34409765
ultras
ultras
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
firewall solaris 10 x86
спасибо!

после на FC4
route add default gw 192.168.100.102

с FC4 на интерфейс 10.5.158.245 уже попадаю

дальше пока нет.
буду разбираться.


благодарю ещё раз за подсказку.. ))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / firewall solaris 10 x86 / 18 сообщений из 18, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 314ms
Закрыть
start [/forum/topic.php?fid=25&mobile=1&tid=1488342]:
 0ms
get settings:
 6ms
get forum list:
 13ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 37ms
get topic data:
 7ms
get forum data:
 2ms
get page messages:
 44ms
get tp. blocked users:
 1ms
others: 200ms
total:  314ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]