Форум АНТИЧАТ - Шлюз в интернет на FreeBSD

Шлюз в интернет на FreeBSD - Быстрая установка

07.08.2007, 11:25

netf0x

Познающий

Регистрация: 27.04.2006

Сообщений: 46

Провел на форуме:
177234

Репутация: 11

Шлюз в интернет на FreeBSD - Быстрая установка

Ставлю фрю в режиме эксперта. Все стандартно. Бью диск в авторежиме, так же создаю слайсы не заморачиваясь. Ставлю по опции Kernel Developer + дерево портов.
Далее ставлю пасс руту, создаю еще одного юзера на всякий случай, вношу его в группу wheel. Настраиваю сеть, два интерфейса:

PHP код:


		
			
rl0: flags=8843 mtu 1500

options=8

inet 192.168.0.9 netmask 0xffffff00 broadcast 192.168.0.255 



rl1: flags=8843 mtu 1500

options=8

inet 211.170.81.73 netmask 0xffffffe0 broadcast 211.170.81.95

перезагружаюсь, Логинюсь рутом.

PHP код:


		
			
#ee /sys/i386/conf/GENERIC

добавляю:

PHP код:


		
			
options IPFIREWALL

options IPDIVERT



меняю тип машины, сохраняю, компилирую

#config GENERIC

#cd ../compile

#make

пошел процесс пересборки а я в это время правлю конфиги )

PHP код:


		
			
#ee /etc/rc.conf



добавляю:

gateway_enable=”YES”

natd_enable=”YES”

natd_interface=”lnc0&#8243;

firewall_enable=”YES”

firewall_type=”/usr/local/etc/firewall.conf”



сохраняю и рисую /usr/local/etc/firewall.conf

add divert natd all from any to any via lnc1

add allow all from any to any

Жду завершения компиляции ядра, устанавливаю, перезагружаюсь..
Машина со стороны интерфейса 10.5.5.1 увидела интернет ))
Программа минимум выполнена.

Настраиваем файервол.

Здесь привожу вывод команды ipfw list, так как лень))
Здесь на сайте есть описание ipfw, разобраться не сложно.

PHP код:


		
			
00100 allow ip from any to any via lo0 



00200 deny ip from any to 127.0.0.0/8

00300 deny ip from 127.0.0.0/8 to any

00400 deny ip from 192.168.0.0/24 to any in via rl1

00500 deny ip from 211.170.81.64/27 to any in via rl0

00600 deny ip from any to 10.0.0.0/8 via rl1

00700 deny ip from any to 172.16.0.0/12 via rl1

00800 deny ip from any to 192.168.0.0/16 via rl1

00900 deny ip from any to 0.0.0.0/8 via rl1

01000 deny ip from any to 169.254.0.0/16 via rl1

01100 deny ip from any to 192.0.2.0/24 via rl1

01200 deny ip from any to 224.0.0.0/4 via rl1

01300 deny ip from any to 240.0.0.0/4 via rl1



01400 divert 8668 ip from any to any out via rl1

01500 divert 8668 ip from any to 211.170.81.73 in via rl1



01900 deny ip from 10.0.0.0/8 to any via rl1

02000 deny ip from 172.16.0.0/12 to any via rl1

02100 deny ip from 192.168.0.0/16 to any via rl1

02200 deny ip from 0.0.0.0/8 to any via rl1

02300 deny ip from 169.254.0.0/16 to any via rl1

02400 deny ip from 192.0.2.0/24 to any via rl1

02500 deny ip from 224.0.0.0/4 to any via rl1

02600 deny ip from 240.0.0.0/4 to any via rl1



02700 allow tcp from any to any established

02800 allow ip from any to any frag

02900 allow udp from 192.168.0.162 to any dst-port 53 keep-state

03000 allow udp from 192.168.0.0/24 to 192.168.0.162 dst-port 53 keep-state

03100 allow tcp from any to 211.170.81.73 dst-port 22,80,443



03400 deny icmp from any to any frag

03500 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17



03600 allow icmp from any to any

03700 allow tcp from any to any dst-port 22

03800 allow tcp from any to any dst-port 81-85 in via rl1 setup



03900 deny log logamount 100 tcp from any to any in via rl1 setup



04000 allow tcp from any to any setup

04100 allow udp from 211.170.81.73 to any dst-port 53 keep-state

04200 allow udp from 211.170.81.73 to any dst-port 123 keep-state



65535 deny ip from any to any

Последний раз редактировалось netf0x; 18.12.2007 в 17:53..