forum.opennet.ru - "IPFW и доступ к внешним серверам" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW и доступ к внешним серверам"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW и доступ к внешним серверам"
Сообщение от skif (??) on 23-Июн-04, 15:57 (MSK)
День добрый, коллеги! :))) Собственно ситуация следующая: есть локальная сеть и шлюз в инет на Фри5.х На шлюзе поднят ipfw и нат. Если ставим ipfw в OPEN, то все у нас хорошо - почта с внешних серверов по POP3 забирается, нат свою задачу отрабатывает без вопросов. Ставим ipfw в SIMPLE.... и тут начинается.... Бывает так что почта перестает ходить сразу после того как сделали SIMPLE и перегрузились, бывает так что почта сначала после перезагрузки ходит, а через некоторое время (1-1,5 часа) перестает. Вот это вообще странная ситуация поскольку за эти час-полтора машину никто не трогает и никакие правила не добавляет/не убивает. Бывает что ходит только на часть серверов.... короче все признаки классического полтергейста на лицо :) Под SIMPLE я понимаю следующую конфигурацию ipfw: 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from 192.168.1.0/24 to any in via rl1 00500 deny ip from 1.1.1.1/1 to any in via rl2 00600 deny ip from any to 10.0.0.0/8 via rl1 00700 deny ip from any to 172.16.0.0/12 via rl1 00800 deny ip from any to 192.168.0.0/16 via rl1 00900 deny ip from any to 0.0.0.0/8 via rl1 01000 deny ip from any to 169.254.0.0/16 via rl1 01100 deny ip from any to 192.0.2.0/24 via rl1 01200 deny ip from any to 224.0.0.0/4 via rl1 01300 deny ip from any to 240.0.0.0/4 via rl1 01400 divert 8668 ip from any to any via rl1 01500 deny ip from 10.0.0.0/8 to any via rl1 01600 deny ip from 172.16.0.0/12 to any via rl1 01700 deny ip from 192.168.0.0/16 to any via rl1 01800 deny ip from 0.0.0.0/8 to any via rl1 01900 deny ip from 169.254.0.0/16 to any via rl1 02000 deny ip from 192.0.2.0/24 to any via rl1 02100 deny ip from 224.0.0.0/4 to any via rl1 02200 deny ip from 240.0.0.0/4 to any via rl1 02300 allow tcp from any to any established 02400 allow ip from any to any frag 02500 allow tcp from any to 1.1.1.1 dst-port 22 02600 allow tcp from 1.1.1.1 22 to any 02700 deny tcp from any to any in via rl1 setup 02800 allow tcp from any to any setup 02900 allow udp from 1.1.1.1 to any dst-port 53 keep-state 03000 allow udp from 1.1.1.1 to any dst-port 123 keep-state 65535 deny ip from any to any где 1.1.1.1 - адрес карточки, глядящей в инет НАРОД, ПОМОЖИТЕ! плз, а то я уже все оставшиеся мозги сломал... :)))
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

IPFW и доступ к внешним серверам, A Clockwork Orange, 16:08 , 23-Июн-04, (1)
- IPFW и доступ к внешним серверам, skif, 16:25 , 23-Июн-04, (2)
  - IPFW и доступ к внешним серверам, dfer, 08:38 , 24-Июн-04, (3)
    - IPFW и доступ к внешним серверам, skif, 07:59 , 25-Июн-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFW и доступ к внешним серверам"

Сообщение от A Clockwork Orange on 23-Июн-04, 16:08  (MSK)

>День добрый, коллеги! :)))
>Собственно ситуация следующая: есть локальная сеть и шлюз в инет на Фри5.х
>
>На шлюзе поднят ipfw и нат. Если ставим ipfw в OPEN, то
>все у нас хорошо - почта с внешних серверов по POP3
>забирается, нат свою задачу отрабатывает без вопросов. Ставим ipfw в SIMPLE....
>и тут начинается....
>Бывает так что почта перестает ходить сразу после того как сделали SIMPLE
>и перегрузились, бывает так что почта сначала после перезагрузки ходит, а
>через некоторое время (1-1,5 часа) перестает. Вот это вообще странная ситуация
>поскольку за эти час-полтора машину никто не трогает и никакие правила
>не добавляет/не убивает. Бывает что ходит только на часть серверов.... короче
>все признаки классического полтергейста на лицо :)
>Под SIMPLE я понимаю следующую конфигурацию ipfw:
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00400 deny ip from 192.168.1.0/24 to any in via rl1
>00500 deny ip from 1.1.1.1/1 to any in via rl2
>00600 deny ip from any to 10.0.0.0/8 via rl1
>00700 deny ip from any to 172.16.0.0/12 via rl1
>00800 deny ip from any to 192.168.0.0/16 via rl1
>00900 deny ip from any to 0.0.0.0/8 via rl1
>01000 deny ip from any to 169.254.0.0/16 via rl1
>01100 deny ip from any to 192.0.2.0/24 via rl1
>01200 deny ip from any to 224.0.0.0/4 via rl1
>01300 deny ip from any to 240.0.0.0/4 via rl1
>01400 divert 8668 ip from any to any via rl1
>01500 deny ip from 10.0.0.0/8 to any via rl1
>01600 deny ip from 172.16.0.0/12 to any via rl1
>01700 deny ip from 192.168.0.0/16 to any via rl1
>01800 deny ip from 0.0.0.0/8 to any via rl1
>01900 deny ip from 169.254.0.0/16 to any via rl1
>02000 deny ip from 192.0.2.0/24 to any via rl1
>02100 deny ip from 224.0.0.0/4 to any via rl1
>02200 deny ip from 240.0.0.0/4 to any via rl1
>02300 allow tcp from any to any established
>02400 allow ip from any to any frag
>02500 allow tcp from any to 1.1.1.1 dst-port 22
>02600 allow tcp from 1.1.1.1 22 to any
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
можно не писать есть 23 правило.
>02700 deny tcp from any to any in via rl1 setup
>02800 allow tcp from any to any setup
>02900 allow udp from 1.1.1.1 to any dst-port 53 keep-state
>03000 allow udp from 1.1.1.1 to any dst-port 123 keep-state
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
udp для внутренней сети где? если пойдет пакет из внетренней сети на днс он подпадет только под последнее правило все запретить!
введи
ipfw add 1350 allow all from any to any via rl2
Куда-нибудь притырь еще по ICMP требования замедления передачи, прием хост анричибл
Пинг трейс по вкусу.
>65535 deny ip from any to any
>
>где 1.1.1.1 - адрес карточки, глядящей в инет
>
>НАРОД, ПОМОЖИТЕ! плз, а то я уже все оставшиеся мозги сломал...
>:)))

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW и доступ к внешним серверам"

Сообщение от skif (??) on 23-Июн-04, 16:25  (MSK)

>udp для внутренней сети где? если пойдет пакет из внетренней сети на
>днс он подпадет только под последнее правило все запретить!
>введи
>ipfw add 1350 allow all from any to any via rl2
UDP из внутренней сети попадет сначала на нат:
>01400 divert 8668 ip from any to any via rl1
а потом с адресом источника 1.1.1.1 пойдет дальше по правилу:
>02900 allow udp from 1.1.1.1 to any dst-port 53 keep-state
Разве не так?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPFW и доступ к внешним серверам"

Сообщение от dfer on 24-Июн-04, 08:38  (MSK)

поставь первым приблизительно:
ipfw add allow all from me to any keep-state

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "IPFW и доступ к внешним серверам"

Сообщение от skif (??) on 25-Июн-04, 07:59  (MSK)

>поставь первым приблизительно:
>ipfw add allow all from me to any keep-state
а зачем есть ведь
02800 allow tcp from any to any setup

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW и доступ к внешним серверам"
Сообщение от A Clockwork Orange on 23-Июн-04, 16:08 (MSK)
>День добрый, коллеги! :))) >Собственно ситуация следующая: есть локальная сеть и шлюз в инет на Фри5.х > >На шлюзе поднят ipfw и нат. Если ставим ipfw в OPEN, то >все у нас хорошо - почта с внешних серверов по POP3 >забирается, нат свою задачу отрабатывает без вопросов. Ставим ipfw в SIMPLE.... >и тут начинается.... >Бывает так что почта перестает ходить сразу после того как сделали SIMPLE >и перегрузились, бывает так что почта сначала после перезагрузки ходит, а >через некоторое время (1-1,5 часа) перестает. Вот это вообще странная ситуация >поскольку за эти час-полтора машину никто не трогает и никакие правила >не добавляет/не убивает. Бывает что ходит только на часть серверов.... короче >все признаки классического полтергейста на лицо :) >Под SIMPLE я понимаю следующую конфигурацию ipfw: >00100 allow ip from any to any via lo0 >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any >00400 deny ip from 192.168.1.0/24 to any in via rl1 >00500 deny ip from 1.1.1.1/1 to any in via rl2 >00600 deny ip from any to 10.0.0.0/8 via rl1 >00700 deny ip from any to 172.16.0.0/12 via rl1 >00800 deny ip from any to 192.168.0.0/16 via rl1 >00900 deny ip from any to 0.0.0.0/8 via rl1 >01000 deny ip from any to 169.254.0.0/16 via rl1 >01100 deny ip from any to 192.0.2.0/24 via rl1 >01200 deny ip from any to 224.0.0.0/4 via rl1 >01300 deny ip from any to 240.0.0.0/4 via rl1 >01400 divert 8668 ip from any to any via rl1 >01500 deny ip from 10.0.0.0/8 to any via rl1 >01600 deny ip from 172.16.0.0/12 to any via rl1 >01700 deny ip from 192.168.0.0/16 to any via rl1 >01800 deny ip from 0.0.0.0/8 to any via rl1 >01900 deny ip from 169.254.0.0/16 to any via rl1 >02000 deny ip from 192.0.2.0/24 to any via rl1 >02100 deny ip from 224.0.0.0/4 to any via rl1 >02200 deny ip from 240.0.0.0/4 to any via rl1 >02300 allow tcp from any to any established >02400 allow ip from any to any frag >02500 allow tcp from any to 1.1.1.1 dst-port 22 >02600 allow tcp from 1.1.1.1 22 to any ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ можно не писать есть 23 правило. >02700 deny tcp from any to any in via rl1 setup >02800 allow tcp from any to any setup >02900 allow udp from 1.1.1.1 to any dst-port 53 keep-state >03000 allow udp from 1.1.1.1 to any dst-port 123 keep-state ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ udp для внутренней сети где? если пойдет пакет из внетренней сети на днс он подпадет только под последнее правило все запретить! введи ipfw add 1350 allow all from any to any via rl2 Куда-нибудь притырь еще по ICMP требования замедления передачи, прием хост анричибл Пинг трейс по вкусу. >65535 deny ip from any to any > >где 1.1.1.1 - адрес карточки, глядящей в инет > >НАРОД, ПОМОЖИТЕ! плз, а то я уже все оставшиеся мозги сломал... >:)))
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "IPFW и доступ к внешним серверам"
	Сообщение от skif (??) on 23-Июн-04, 16:25 (MSK)
	>udp для внутренней сети где? если пойдет пакет из внетренней сети на >днс он подпадет только под последнее правило все запретить! >введи >ipfw add 1350 allow all from any to any via rl2 UDP из внутренней сети попадет сначала на нат: >01400 divert 8668 ip from any to any via rl1 а потом с адресом источника 1.1.1.1 пойдет дальше по правилу: >02900 allow udp from 1.1.1.1 to any dst-port 53 keep-state Разве не так?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "IPFW и доступ к внешним серверам"
	Сообщение от dfer on 24-Июн-04, 08:38 (MSK)
	поставь первым приблизительно: ipfw add allow all from me to any keep-state
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "IPFW и доступ к внешним серверам"
	Сообщение от skif (??) on 25-Июн-04, 07:59 (MSK)
	>поставь первым приблизительно: >ipfw add allow all from me to any keep-state а зачем есть ведь 02800 allow tcp from any to any setup
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх