forum.opennet.ru - "FreeBSD & ipfw" (26)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeBSD & ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD & ipfw"
Сообщение от beerking (ok) on 16-Мрт-05, 16:45 (MSK)
Хай алл. FreeBSD v.5.3 ядро собрано с оциями: options IPFIREWALL options IPDIVERT rc.conf: gateway_enable="YES" hostname="Firewall" ifconfig_sis0="DHCP" inetd_enable="YES" linux_enable="YES" moused_enable="YES" sshd_enable="YES" usbd_enable="YES" firewall_enable="YES" firewall_script="/usr/local/billing/rc.firewall" natd_enable="YES" natd_interface="sis0" rc.firewall: ipfw='/sbin/ipfw -q' ${ipfw} -f flush ${ipfw} add divert natd all from any to any via rl0 ${ipfw} add allow all from any to any При этом машины из локальной сети не могут выйти наружу. В какую сторону копать?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

FreeBSD & ipfw, denn, 16:49 , 16-Мрт-05, (1)
- FreeBSD & ipfw, beerking, 16:52 , 16-Мрт-05, (2)
FreeBSD & ipfw, denn, 17:02 , 16-Мрт-05, (3)
- FreeBSD & ipfw, beerking, 17:42 , 16-Мрт-05, (4)
  - FreeBSD & ipfw, denn, 17:59 , 16-Мрт-05, (5)
    - FreeBSD & ipfw, beerking, 18:08 , 16-Мрт-05, (6)
      - FreeBSD & ipfw, denn, 18:20 , 16-Мрт-05, (7)
        
        FreeBSD & ipfw, beerking, 18:28 , 16-Мрт-05, (8)
        
        FreeBSD & ipfw, denn, 18:39 , 16-Мрт-05, (9)
        
        FreeBSD & ipfw, beerking, 18:48 , 16-Мрт-05, (10)
        
        FreeBSD & ipfw, beerking, 19:40 , 16-Мрт-05, (11)
        
        FreeBSD & ipfw, denn, 19:44 , 16-Мрт-05, (12)
        
        FreeBSD & ipfw, beerking, 22:40 , 16-Мрт-05, (13)
        
        FreeBSD & ipfw, beerking, 15:45 , 17-Мрт-05, (14)
        FreeBSD & ipfw, denn, 15:51 , 17-Мрт-05, (15)
        FreeBSD & ipfw, beerking, 16:14 , 17-Мрт-05, (16)
        FreeBSD & ipfw, beerking, 16:42 , 17-Мрт-05, (17)
        FreeBSD & ipfw, denn, 16:48 , 17-Мрт-05, (18)
        FreeBSD & ipfw, beerking, 16:54 , 17-Мрт-05, (19)
        FreeBSD & ipfw, denn, 17:04 , 17-Мрт-05, (20)
        FreeBSD & ipfw, beerking, 17:08 , 17-Мрт-05, (21)
        FreeBSD & ipfw, denn, 17:20 , 17-Мрт-05, (22)
        FreeBSD & ipfw, beerking, 17:27 , 17-Мрт-05, (23)
        FreeBSD & ipfw, denn, 18:36 , 17-Мрт-05, (24)
        FreeBSD & ipfw, beerking, 21:11 , 17-Мрт-05, (25)
        FreeBSD & ipfw, denn, 21:17 , 17-Мрт-05, (26)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 16:49  (MSK)

>Хай алл.
>
>FreeBSD v.5.3
>ядро собрано с оциями:
>options IPFIREWALL
>options IPDIVERT
>
>rc.conf:
>gateway_enable="YES"
>hostname="Firewall"
>ifconfig_sis0="DHCP"
>inetd_enable="YES"
>linux_enable="YES"
>moused_enable="YES"
>sshd_enable="YES"
>usbd_enable="YES"
>firewall_enable="YES"
>firewall_script="/usr/local/billing/rc.firewall"
>natd_enable="YES"
>natd_interface="sis0"
>
>rc.firewall:
>ipfw='/sbin/ipfw -q'
>${ipfw} -f flush
>${ipfw} add divert natd all from any to any via rl0
>${ipfw} add allow all from any to any
>
>При этом машины из локальной сети не могут выйти наружу.
>В какую сторону копать?
настройку инфейсов покажи
+allow ip from any to any via lo0 желательно в начале

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 16:52  (MSK)

sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::20e:a6ff:fe2f:19f6%sis0 prefixlen 64 scopeid 0x1
        inet aa.aa.aaa.aa netmask 0xffffff00 broadcast aa.aa.aaa.255
        ether 00:0e:a6:2f:19:f6
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::280:5aff:fe23:d330%rl0 prefixlen 64 scopeid 0x2
        ether 00:80:5a:23:d3:30
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 17:02  (MSK)

смотрю ты наружный адрес получаешь по дхцп.
нат стартует с этого инфейса.
есть мнение что назначаеться адрес позже чем стартует нат.
останови нат. подними его еще раз на уже присвоеном адресе.
пингани с клиента и погялди счетчики фарвола.
+с самого серва мир ходит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 17:42  (MSK)

>смотрю ты наружный адрес получаешь по дхцп.
>нат стартует с этого инфейса.
>есть мнение что назначаеться адрес позже чем стартует нат.
>останови нат. подними его еще раз на уже присвоеном адресе.
не помогает.
>пингани с клиента и погялди счетчики фарвола.
счетчик постоянно меняется - я ж удаленно настраиваю...
>+с самого серва мир ходит?
да, ходит.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 17:59  (MSK)

>>смотрю ты наружный адрес получаешь по дхцп.
>>нат стартует с этого инфейса.
>>есть мнение что назначаеться адрес позже чем стартует нат.
>>останови нат. подними его еще раз на уже присвоеном адресе.
>не помогает.
>>пингани с клиента и погялди счетчики фарвола.
>счетчик постоянно меняется - я ж удаленно настраиваю...
>>+с самого серва мир ходит?
>да, ходит.
смотри счетчик ната.
forwad включен? на клиенте все верно настроено?
пусть с клиента дадут пинг, а ты тспдампом погляди
natd -a адрес_инфейса
но аккуратно нат ложи. не забывай при этом снимать правило, тк ты удаленно

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 18:08  (MSK)

>>>смотрю ты наружный адрес получаешь по дхцп.
>>>нат стартует с этого инфейса.
>>>есть мнение что назначаеться адрес позже чем стартует нат.
>>>останови нат. подними его еще раз на уже присвоеном адресе.
>>не помогает.
>>>пингани с клиента и погялди счетчики фарвола.
>>счетчик постоянно меняется - я ж удаленно настраиваю...
>>>+с самого серва мир ходит?
>>да, ходит.
>
>смотри счетчик ната.
сорри за ламерский вопрос... как это посмотреть?
>forwad включен? на клиенте все верно настроено?
Нет, не включен. На клиенте все верно.
>пусть с клиента дадут пинг, а ты тспдампом погляди
16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649
>natd -a адрес_инфейса
так и пробовал.
>но аккуратно нат ложи. не забывай при этом снимать правило, тк ты
>удаленно
какое правило снимать то? вроде бы прибивал и заново запускал и все ок.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 18:20  (MSK)

>>>>смотрю ты наружный адрес получаешь по дхцп.
>>>>нат стартует с этого инфейса.
>>>>есть мнение что назначаеться адрес позже чем стартует нат.
>>>>останови нат. подними его еще раз на уже присвоеном адресе.
>>>не помогает.
>>>>пингани с клиента и погялди счетчики фарвола.
>>>счетчик постоянно меняется - я ж удаленно настраиваю...
>>>>+с самого серва мир ходит?
>>>да, ходит.
>>
>>смотри счетчик ната.
>сорри за ламерский вопрос... как это посмотреть?
ipfw -a l номер_правила
>>forwad включен? на клиенте все верно настроено?
> Нет, не включен. На клиенте все верно.
проверь net.inet.ip.forwarding: 1
>>пусть с клиента дадут пинг, а ты тспдампом погляди
>16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649
обратки нет
>>natd -a адрес_инфейса
>так и пробовал.
>>но аккуратно нат ложи. не забывай при этом снимать правило, тк ты
>>удаленно
>какое правило снимать то? вроде бы прибивал и заново запускал и все
тоесть правило диверта в фаирволе нужно убирать перед тем как ложешь natd
воизбежании потери связи с удаленной машиной
>ок.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 18:28  (MSK)

>>>>>смотрю ты наружный адрес получаешь по дхцп.
>>>>>нат стартует с этого инфейса.
>>>>>есть мнение что назначаеться адрес позже чем стартует нат.
>>>>>останови нат. подними его еще раз на уже присвоеном адресе.
>>>>не помогает.
>>>>>пингани с клиента и погялди счетчики фарвола.
>>>>счетчик постоянно меняется - я ж удаленно настраиваю...
>>>>>+с самого серва мир ходит?
>>>>да, ходит.
>>>
>>>смотри счетчик ната.
>>сорри за ламерский вопрос... как это посмотреть?
>ipfw -a l номер_правила
00100 divert 8668 ip from any to any via rl0
меняется, но как то медленно...
>>>forwad включен? на клиенте все верно настроено?
>> Нет, не включен. На клиенте все верно.
>проверь net.inet.ip.forwarding: 1
стоит 1
>>>пусть с клиента дадут пинг, а ты тспдампом погляди
>>16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649
>обратки нет
>>>natd -a адрес_инфейса
>>так и пробовал.
>>>но аккуратно нат ложи. не забывай при этом снимать правило, тк ты
>>>удаленно
>>какое правило снимать то? вроде бы прибивал и заново запускал и все
>тоесть правило диверта в фаирволе нужно убирать перед тем как ложешь natd
>
>воизбежании потери связи с удаленной машиной
спасиб. буду знать.
>>ок.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 18:39  (MSK)

>00100 divert 8668 ip from any to any via rl0
тока не через rl0 а через sis0

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 18:48  (MSK)

>>00100 divert 8668 ip from any to any via rl0
>тока не через rl0 а через sis0
я м.........
Спасибо.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 19:40  (MSK)

я правильно понял что правило 200 allow all from any to any
разрешает всем(что снаружи что из нутри вся и все?)
если да, то не подскажите как запретить снаружи всё, кроме ssh на firewall'e , а изнутри разрешить все?

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "FreeBSD & ipfw"

Сообщение от denn (??) on 16-Мрт-05, 19:44  (MSK)

>я правильно понял что правило 200 allow all from any to any
>
>разрешает всем(что снаружи что из нутри вся и все?)
>
>если да, то не подскажите как запретить снаружи всё, кроме ssh на
>firewall'e , а изнутри разрешить все?
смотри настройка в rc.firewall
там есть примеры
также почитай ман на тему man rc.cong секция firewall_type
зы. нат поднялся?

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 16-Мрт-05, 22:40  (MSK)

>>я правильно понял что правило 200 allow all from any to any
>>
>>разрешает всем(что снаружи что из нутри вся и все?)
>>
>>если да, то не подскажите как запретить снаружи всё, кроме ssh на
>>firewall'e , а изнутри разрешить все?
>смотри настройка в rc.firewall
>там есть примеры
>также почитай ман на тему man rc.cong секция firewall_type
>зы. нат поднялся?
да. поднялся.

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 15:45  (MSK)

ipfw add 100 divert natd ip from any to any via sis0
ipfw add 200 allow ip from any to any via lo0
ipfw add 300 deny ip  from any to 127.0.0.0/8
ipfw add 400 allow ip from 192.168.0.0/24 to any
ipfw add 500 allow ip from any to 192.168.0.0/24
ipfw add 600 deny ip from any to any
sis0 - интерфейс который смотрит наружу.
Безопасно ли это???

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 15:51  (MSK)

>ipfw add 100 divert natd ip from any to any via sis0
>
>ipfw add 200 allow ip from any to any via lo0
>ipfw add 300 deny ip  from any to 127.0.0.0/8
>ipfw add 400 allow ip from 192.168.0.0/24 to any
>ipfw add 500 allow ip from any to 192.168.0.0/24
>ipfw add 600 deny ip from any to any
>
>sis0 - интерфейс который смотрит наружу.
>
>Безопасно ли это???
ну а принцип работы ната...

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 16:14  (MSK)

>>ipfw add 100 divert natd ip from any to any via sis0
>>
>>ipfw add 200 allow ip from any to any via lo0
>>ipfw add 300 deny ip  from any to 127.0.0.0/8
>>ipfw add 400 allow ip from 192.168.0.0/24 to any
>>ipfw add 500 allow ip from any to 192.168.0.0/24
>>ipfw add 600 deny ip from any to any
>>
>>sis0 - интерфейс который смотрит наружу.
>>
>>Безопасно ли это???
>ну а принцип работы ната...
Что-то не так?
Может совсем работать не будет?
Ткните пальцем плз.

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 16:42  (MSK)

Совсем запутался....
вот пример...откуда сами знаете.
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.1/24'
uprefix='192.168.0'
ifout='sis0'
ifuser='rl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo0
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 65535 deny ip from any to any
почему нельзя вылезти наружу из локалки?

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 16:48  (MSK)

{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 16:54  (MSK)

>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
>
пробовал убрать, заменить reject на allow - не помогло.
крыша едет...

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 17:04  (MSK)

>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
>>
>
>пробовал убрать, заменить reject на allow - не помогло.
>
>крыша едет...
порядок следования правил нужно соблюдать

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 17:08  (MSK)

>>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
>>>
>>
>>пробовал убрать, заменить reject на allow - не помогло.
>>
>>крыша едет...
>
>порядок следования правил нужно соблюдать
напишет, пожалуйста, как будет правильно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 17:20  (MSK)

>>>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
>>>>
>>>
>>>пробовал убрать, заменить reject на allow - не помогло.
>>>
>>>крыша едет...
>>
>>порядок следования правил нужно соблюдать
>
>напишет, пожалуйста, как будет правильно.

первым для lo0
дальше нат
дальше по политике

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 17:27  (MSK)

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.0/24'
uprefix='192.168.0'
ifout='sis0'
ifuser='rl0'
${ipfw} flush
${ipfw} add allow ip from any to any via lo0
${ipfw} add divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add check-state
${ipfw} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add allow ip from ${ournet} to any in via ${ifout}
${ipfw} add allow tcp from me to any keep-state via ${ifout}
${ipfw} add allow icmp from any to any
${ipfw} add allow udp from me to any domain keep-state
${ipfw} add allow udp from any to me domain
${ipfw} add allow ip from me to any
${ipfw} add allow tcp from any to me http,https,ssh
${ipfw} add 65535 deny ip from any to any
и ничего...

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 18:36  (MSK)

${ipfw} add divert natd ip from any to any via ${ifout}

Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "FreeBSD & ipfw"

Сообщение от beerking (ok) on 17-Мрт-05, 21:11  (MSK)

>${ipfw} add divert natd ip from any to any via ${ifout}
2 all:
тема закры
2 denn:
Можно с Вами пообщаться по аське?
вот моя 16342714

Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "FreeBSD & ipfw"

Сообщение от denn (??) on 17-Мрт-05, 21:17  (MSK)

>>${ipfw} add divert natd ip from any to any via ${ifout}
>2 all:
>тема закры
>
>2 denn:
>Можно с Вами пообщаться по аське?
>вот моя 16342714
250669862

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD & ipfw"
Сообщение от denn (??) on 16-Мрт-05, 16:49 (MSK)
>Хай алл. > >FreeBSD v.5.3 >ядро собрано с оциями: >options IPFIREWALL >options IPDIVERT > >rc.conf: >gateway_enable="YES" >hostname="Firewall" >ifconfig_sis0="DHCP" >inetd_enable="YES" >linux_enable="YES" >moused_enable="YES" >sshd_enable="YES" >usbd_enable="YES" >firewall_enable="YES" >firewall_script="/usr/local/billing/rc.firewall" >natd_enable="YES" >natd_interface="sis0" > >rc.firewall: >ipfw='/sbin/ipfw -q' >${ipfw} -f flush >${ipfw} add divert natd all from any to any via rl0 >${ipfw} add allow all from any to any > >При этом машины из локальной сети не могут выйти наружу. >В какую сторону копать? настройку инфейсов покажи +allow ip from any to any via lo0 желательно в начале
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 16:52 (MSK)
	sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet6 fe80::20e:a6ff:fe2f:19f6%sis0 prefixlen 64 scopeid 0x1 inet aa.aa.aaa.aa netmask 0xffffff00 broadcast aa.aa.aaa.255 ether 00:0e:a6:2f:19:f6 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::280:5aff:fe23:d330%rl0 prefixlen 64 scopeid 0x2 ether 00:80:5a:23:d3:30 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "FreeBSD & ipfw"
Сообщение от denn (??) on 16-Мрт-05, 17:02 (MSK)
смотрю ты наружный адрес получаешь по дхцп. нат стартует с этого инфейса. есть мнение что назначаеться адрес позже чем стартует нат. останови нат. подними его еще раз на уже присвоеном адресе. пингани с клиента и погялди счетчики фарвола. +с самого серва мир ходит?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 17:42 (MSK)
	>смотрю ты наружный адрес получаешь по дхцп. >нат стартует с этого инфейса. >есть мнение что назначаеться адрес позже чем стартует нат. >останови нат. подними его еще раз на уже присвоеном адресе. не помогает. >пингани с клиента и погялди счетчики фарвола. счетчик постоянно меняется - я ж удаленно настраиваю... >+с самого серва мир ходит? да, ходит.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "FreeBSD & ipfw"
	Сообщение от denn (??) on 16-Мрт-05, 17:59 (MSK)
	>>смотрю ты наружный адрес получаешь по дхцп. >>нат стартует с этого инфейса. >>есть мнение что назначаеться адрес позже чем стартует нат. >>останови нат. подними его еще раз на уже присвоеном адресе. >не помогает. >>пингани с клиента и погялди счетчики фарвола. >счетчик постоянно меняется - я ж удаленно настраиваю... >>+с самого серва мир ходит? >да, ходит. смотри счетчик ната. forwad включен? на клиенте все верно настроено? пусть с клиента дадут пинг, а ты тспдампом погляди natd -a адрес_инфейса но аккуратно нат ложи. не забывай при этом снимать правило, тк ты удаленно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 18:08 (MSK)
	>>>смотрю ты наружный адрес получаешь по дхцп. >>>нат стартует с этого инфейса. >>>есть мнение что назначаеться адрес позже чем стартует нат. >>>останови нат. подними его еще раз на уже присвоеном адресе. >>не помогает. >>>пингани с клиента и погялди счетчики фарвола. >>счетчик постоянно меняется - я ж удаленно настраиваю... >>>+с самого серва мир ходит? >>да, ходит. > >смотри счетчик ната. сорри за ламерский вопрос... как это посмотреть? >forwad включен? на клиенте все верно настроено? Нет, не включен. На клиенте все верно. >пусть с клиента дадут пинг, а ты тспдампом погляди 16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649 >natd -a адрес_инфейса так и пробовал. >но аккуратно нат ложи. не забывай при этом снимать правило, тк ты >удаленно какое правило снимать то? вроде бы прибивал и заново запускал и все ок.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "FreeBSD & ipfw"
	Сообщение от denn (??) on 16-Мрт-05, 18:20 (MSK)
	>>>>смотрю ты наружный адрес получаешь по дхцп. >>>>нат стартует с этого инфейса. >>>>есть мнение что назначаеться адрес позже чем стартует нат. >>>>останови нат. подними его еще раз на уже присвоеном адресе. >>>не помогает. >>>>пингани с клиента и погялди счетчики фарвола. >>>счетчик постоянно меняется - я ж удаленно настраиваю... >>>>+с самого серва мир ходит? >>>да, ходит. >> >>смотри счетчик ната. >сорри за ламерский вопрос... как это посмотреть? ipfw -a l номер_правила >>forwad включен? на клиенте все верно настроено? > Нет, не включен. На клиенте все верно. проверь net.inet.ip.forwarding: 1 >>пусть с клиента дадут пинг, а ты тспдампом погляди >16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649 обратки нет >>natd -a адрес_инфейса >так и пробовал. >>но аккуратно нат ложи. не забывай при этом снимать правило, тк ты >>удаленно >какое правило снимать то? вроде бы прибивал и заново запускал и все тоесть правило диверта в фаирволе нужно убирать перед тем как ложешь natd воизбежании потери связи с удаленной машиной >ок.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 18:28 (MSK)
	>>>>>смотрю ты наружный адрес получаешь по дхцп. >>>>>нат стартует с этого инфейса. >>>>>есть мнение что назначаеться адрес позже чем стартует нат. >>>>>останови нат. подними его еще раз на уже присвоеном адресе. >>>>не помогает. >>>>>пингани с клиента и погялди счетчики фарвола. >>>>счетчик постоянно меняется - я ж удаленно настраиваю... >>>>>+с самого серва мир ходит? >>>>да, ходит. >>> >>>смотри счетчик ната. >>сорри за ламерский вопрос... как это посмотреть? >ipfw -a l номер_правила 00100 divert 8668 ip from any to any via rl0 меняется, но как то медленно... >>>forwad включен? на клиенте все верно настроено? >> Нет, не включен. На клиенте все верно. >проверь net.inet.ip.forwarding: 1 стоит 1 >>>пусть с клиента дадут пинг, а ты тспдампом погляди >>16:04:32.906017 IP 192.168.0.10 > bbb.bbb.bbb.bbb: icmp 40: echo request seq 27649 >обратки нет >>>natd -a адрес_инфейса >>так и пробовал. >>>но аккуратно нат ложи. не забывай при этом снимать правило, тк ты >>>удаленно >>какое правило снимать то? вроде бы прибивал и заново запускал и все >тоесть правило диверта в фаирволе нужно убирать перед тем как ложешь natd > >воизбежании потери связи с удаленной машиной спасиб. буду знать. >>ок.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "FreeBSD & ipfw"
	Сообщение от denn (??) on 16-Мрт-05, 18:39 (MSK)
	>00100 divert 8668 ip from any to any via rl0 тока не через rl0 а через sis0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 18:48 (MSK)
	>>00100 divert 8668 ip from any to any via rl0 >тока не через rl0 а через sis0 я м......... Спасибо.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 19:40 (MSK)
	я правильно понял что правило 200 allow all from any to any разрешает всем(что снаружи что из нутри вся и все?) если да, то не подскажите как запретить снаружи всё, кроме ssh на firewall'e , а изнутри разрешить все?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "FreeBSD & ipfw"
	Сообщение от denn (??) on 16-Мрт-05, 19:44 (MSK)
	>я правильно понял что правило 200 allow all from any to any > >разрешает всем(что снаружи что из нутри вся и все?) > >если да, то не подскажите как запретить снаружи всё, кроме ssh на >firewall'e , а изнутри разрешить все? смотри настройка в rc.firewall там есть примеры также почитай ман на тему man rc.cong секция firewall_type зы. нат поднялся?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 16-Мрт-05, 22:40 (MSK)
	>>я правильно понял что правило 200 allow all from any to any >> >>разрешает всем(что снаружи что из нутри вся и все?) >> >>если да, то не подскажите как запретить снаружи всё, кроме ssh на >>firewall'e , а изнутри разрешить все? >смотри настройка в rc.firewall >там есть примеры >также почитай ман на тему man rc.cong секция firewall_type >зы. нат поднялся? да. поднялся.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 15:45 (MSK)
	ipfw add 100 divert natd ip from any to any via sis0 ipfw add 200 allow ip from any to any via lo0 ipfw add 300 deny ip from any to 127.0.0.0/8 ipfw add 400 allow ip from 192.168.0.0/24 to any ipfw add 500 allow ip from any to 192.168.0.0/24 ipfw add 600 deny ip from any to any sis0 - интерфейс который смотрит наружу. Безопасно ли это???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 15:51 (MSK)
	>ipfw add 100 divert natd ip from any to any via sis0 > >ipfw add 200 allow ip from any to any via lo0 >ipfw add 300 deny ip from any to 127.0.0.0/8 >ipfw add 400 allow ip from 192.168.0.0/24 to any >ipfw add 500 allow ip from any to 192.168.0.0/24 >ipfw add 600 deny ip from any to any > >sis0 - интерфейс который смотрит наружу. > >Безопасно ли это??? ну а принцип работы ната...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 16:14 (MSK)
	>>ipfw add 100 divert natd ip from any to any via sis0 >> >>ipfw add 200 allow ip from any to any via lo0 >>ipfw add 300 deny ip from any to 127.0.0.0/8 >>ipfw add 400 allow ip from 192.168.0.0/24 to any >>ipfw add 500 allow ip from any to 192.168.0.0/24 >>ipfw add 600 deny ip from any to any >> >>sis0 - интерфейс который смотрит наружу. >> >>Безопасно ли это??? >ну а принцип работы ната... Что-то не так? Может совсем работать не будет? Ткните пальцем плз.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 16:42 (MSK)
	Совсем запутался.... вот пример...откуда сами знаете. #!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.1/24' uprefix='192.168.0' ifout='sis0' ifuser='rl0' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via lo0 ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 320 allow icmp from any to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add 65535 deny ip from any to any почему нельзя вылезти наружу из локалки?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 16:48 (MSK)
	{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 16:54 (MSK)
	>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} > пробовал убрать, заменить reject на allow - не помогло. крыша едет...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 17:04 (MSK)
	>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} >> > >пробовал убрать, заменить reject на allow - не помогло. > >крыша едет... порядок следования правил нужно соблюдать
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 17:08 (MSK)
	>>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} >>> >> >>пробовал убрать, заменить reject на allow - не помогло. >> >>крыша едет... > >порядок следования правил нужно соблюдать напишет, пожалуйста, как будет правильно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 17:20 (MSK)
	>>>>{ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} >>>> >>> >>>пробовал убрать, заменить reject на allow - не помогло. >>> >>>крыша едет... >> >>порядок следования правил нужно соблюдать > >напишет, пожалуйста, как будет правильно. первым для lo0 дальше нат дальше по политике
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 17:27 (MSK)
	#!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.0/24' uprefix='192.168.0' ifout='sis0' ifuser='rl0' ${ipfw} flush ${ipfw} add allow ip from any to any via lo0 ${ipfw} add divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add check-state ${ipfw} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add allow ip from ${ournet} to any in via ${ifout} ${ipfw} add allow tcp from me to any keep-state via ${ifout} ${ipfw} add allow icmp from any to any ${ipfw} add allow udp from me to any domain keep-state ${ipfw} add allow udp from any to me domain ${ipfw} add allow ip from me to any ${ipfw} add allow tcp from any to me http,https,ssh ${ipfw} add 65535 deny ip from any to any и ничего...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 18:36 (MSK)
	${ipfw} add divert natd ip from any to any via ${ifout}
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "FreeBSD & ipfw"
	Сообщение от beerking (ok) on 17-Мрт-05, 21:11 (MSK)
	>${ipfw} add divert natd ip from any to any via ${ifout} 2 all: тема закры 2 denn: Можно с Вами пообщаться по аське? вот моя 16342714
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "FreeBSD & ipfw"
	Сообщение от denn (??) on 17-Мрт-05, 21:17 (MSK)
	>>${ipfw} add divert natd ip from any to any via ${ifout} >2 all: >тема закры > >2 denn: >Можно с Вами пообщаться по аське? >вот моя 16342714 250669862
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх