pf(+nat) и jail - как разграничить доступ jail-ов в инет

AzureZ · Отправлено: **17:15, 18-06-2007** | #2

А если так
nat on tun0 from 10.10.0.0/24 to any -> tun0
block in all
pass in quick on em0 proto tcp from 10.10.0.42 to any port 53 keep state

brag · Отправлено: **18:22, 18-06-2007** | #3

Спасибо, но не помогло.
nat локально даные валит от того интерфейса и ip, с которого должен фактически пойти запрос.те в даном случаи от ip-шника,который принадлежит tun0,а не 10.10.0.42
те пакеты идти в даном примере не будут вобще никуда и не от куда
надо как-то изменить первые правила, чтобы запросы шли от 10.10.0.42

AzureZ · Отправлено: **19:14, 18-06-2007** | #4

Поправьте если не прав. Т.е вам нужно чтоб пакеты идущие от 10.10.0.42 должны идти мимо нат?

brag · Отправлено: **14:14, 20-06-2007** | #5

нет. мне надо,чтобы пакеты, идущие от 10.10.0.42 могли быть отфильтрованы правилами.
Вот так,как тут:
ipfw add divert natd from any to any via tun0
ipfw add pass tcp from 10.10.0.42 to any 53
ipfw add pass tcp from any 53 to 10.10.0.42 established
ipfw add deny log from any to any

в итоге, пакет идужщий от 10.10.0.42 будет проверен на предмет назначения и порта и послан NAT-у.
пакет,идущий(от ната?) с порта 53 на 10.10.0.42 с флажком established будет пропущен.
Можт в последовательностях я ошибаюсь,но работает. те, вешаем jail на 10.10.0.42(алиас это), и фильтруем его,как хотим.если нат вырубить,то jail не сможет пойти в инет,даже если firewall вобще отключен,в то время,как хостовая тачка сможет

misher · Отправлено: **15:24, 25-06-2007** | #6

Если я не ошибаюсь (больше полугода не трогал фаервол), все правила прогоняются несколько раз на каждом интерфейсе (до ната и после), в результате, на последней проверке (выход из tun0 после нат), 42 айпишник уже затерт и под правило pass не попадает, т.е Вам нужно перед block
добавить правило:
pass any quick on tun0

Если заработает, начинайте ограничивать это правило.

brag · Отправлено: **16:25, 25-06-2007** | #7

Так пропустить пакет от jail-а без проблем. надо сделать так,чтобы jail мог итдти только на определенные хосты/порты

misher · Отправлено: **18:23, 26-06-2007** | #8

По раннее предложенному варианту jail мог ходить на любой порт интерфейса tun0, но в остальных случаях он мог ходить только на 53 порт.

Вот такой вариант более ограничивающий:
nat on tun0 from 10.10.0.0/24 to any -> tun0
pass out quick proto tcp from 10.10.0.42 to any port 53 flags S/SA modulate state
pass out quick on tun0 from (tun0) to any keep state#Походу можно заменить на ниже преведенную строку
pass out on tun0 proto tcp from 10.10.10.42 to any port 53 keep state#кажется заменяет предыдущую строку
block quick log-all all

Поищите в интернете вот эту книжку:
Dev Guide - Building Firewalls with OpenBSD and PF
Вот полезный отрывок из нее:
Packets sent from NATed hosts appear as outbound packets on
the ﬁrewall interface used in nat rules. Their source address and source
port are changed to those of the ﬁrewall’s interface. Therefore, they are
matched by block out or pass out rules on that interface, e.g.:
# NAT hosts in the private network ($prv_ad) on the
# interface connecting the firewall to the Internet
# ($ext_if) using the firewall’s external address
# ($ext_ad)
nat on $ext_if from $prv_ad to any -> $ext_ad
pass out on $ext_if proto tcp from $prv_ad to any

brag · Отправлено: **02:40, 28-06-2007** | #9

Спасибо,но в даном примере любой jail сможет ходить в инет куда угодно, правило pass out quick proto tcp from 10.10.0.42 to any port 53 flags S/SA modulate state будет проигнорировано в даном случаи и пакет от любого с jail-ов пройдет через правило pass out quick on tun0 from (tun0) to any keep state
Правило pass out on tun0 proto tcp from 10.10.10.42 to any port 53 keep state тоже будет проигнорировано и в даном примере первое(pass) и это правило можно смело закоментировать

Это происходит потому,что nat сначала меняет адрес отправителя с 10.10.0.42 на тот,что на tun0 и потом уже пакет(с новым адресом) передается правилам фильтрации. Такого не происходит,если отправляет удаленный чувак.тогда все ок.
Если же закоментировать nat,тогда фаер начнет рубить пакеты от jail-ов и тогда будет смысл в правилах
pass out quick proto tcp from 10.10.0.42 to any port 53 flags S/SA modulate state
pass out on tun0 proto tcp from 10.10.10.42 to any port 53 keep state
Но инета jail-ы все равно не получат по понятным причинам,таким же,как и машины в локалке.
Книжку поищу,мож что-то там вычитаю

Цитата:

nat on $ext_if from $prv_ad to any -> $ext_ad
pass out on $ext_if proto tcp from $prv_ad to any

ХЗ,может в OpenBSD это работает,в Free
pass out on $ext_if proto tcp from $prv_ad to any
до лампочки,тк пакет захочет идти не от $prv_ad, а от $ext_if