 С правилами непонятка,  nickdi, 06-Июл-05, 16:48 [смотреть все]Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое правило надо написать что б дать доступ из локальной сети пинговать тазик провайдера? вот как сейчас настроено
ipfw='/sbin/ipfw -q'
ournet='192.168.0.0/16'
uprefix='192.168.0'
oprefix='xxx.xxx.xxx.xxx'
ifout='ppp0'
ifuser='rl0'
${ipfw} flush
${ipfw} add 50 deny ip log from any to any
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 300 allow ip from any to any via lo0
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 410 allow tcp from any ${ournet} to me smtp
${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${
ifout}
${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
#${ipfw} add 520 divert natd ip from ${ournet} to any out via ${ifuser}
${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}
${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}
${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}
${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}
${ipfw} add 1005 allow ip from ${uprefix}.5 to any via ${ifuser}
${ipfw} add 1005 allow ip from any to ${uprefix}.5 via ${ifuser}
natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, инет есть, а пинга всё равно нет! Дело в том что я первый так сказать раз настраиваю фаэрвол, и просто не представляю какого правила там ещё не хватает, и каким образом мне поможет tcpdump тоже не пойму. Может это смешно но правда! |
- С правилами непонятка, A Clockwork Orange, 17:02 , 06-Июл-05 (1)
- С правилами непонятка, nickdi, 17:16 , 06-Июл-05 (2)
>Правило,
>${ipfw} add 50 deny ip log from any to any
>закрывает ВСЕ.
я его убирал и без него тоже ничего не получается !
- С правилами непонятка, nickdi, 17:17 , 06-Июл-05 (3)
>Правило,
>${ipfw} add 50 deny ip log from any to any
>закрывает ВСЕ.
Я и без него пробовал тот же эффект!
- С правилами непонятка, Alexey Leonchik, 10:39 , 07-Июл-05 (7)
- С правилами непонятка, nickdi, 12:34 , 08-Июл-05 (8)
>>Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое
>>правило надо написать что б дать доступ из локальной сети пинговать
>>тазик провайдера? вот как сейчас настроено
>>ipfw='/sbin/ipfw -q'
>> ournet='192.168.0.0/16'
>> uprefix='192.168.0'
>> oprefix='xxx.xxx.xxx.xxx'
>> ifout='ppp0'
>> ifuser='rl0'
>> ${ipfw} flush
>> ${ipfw} add 50 deny ip log from
>>any to any
>> ${ipfw} add 100 check-state
>> ${ipfw} add 200 deny icmp from any to
>>any in icmptype 5,9,13,14,15,16,17
>> ${ipfw} add 300 allow ip from any to
>>any via lo0
>> ${ipfw} add 310 allow tcp from me to
>>any keep-state via ${ifout}
>> ${ipfw} add 320 allow icmp from any to
>>any
>> ${ipfw} add 330 allow udp from me to
>>any domain keep-state
>> ${ipfw} add 340 allow udp from any to
>>me domain
>> ${ipfw} add 350 allow ip from me to
>>any
>> ${ipfw} add 400 allow tcp from any to
>>me http,https,ssh
>> ${ipfw} add 410 allow tcp from any ${ournet}
>>to me smtp
>> ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet}
>>to any http out via ${
>>ifout}
>> ${ipfw} add 510 divert natd ip from ${ournet}
>>to any out via ${ifout}
>> #${ipfw} add 520 divert natd ip from ${ournet} to
>>any out via ${ifuser}
>>
>> ${ipfw} add 1002 allow ip from ${uprefix}.2 to
>>any via ${ifuser}
>> ${ipfw} add 1002 allow ip from any to
>>${uprefix}.2 via ${ifuser}
>> ${ipfw} add 1003 allow ip from ${uprefix}.3 to
>>any via ${ifuser}
>> ${ipfw} add 1003 allow ip from any to
>>${uprefix}.3 via ${ifuser}
>> ${ipfw} add 1004 allow ip from ${uprefix}.4 to
>>any via ${ifuser}
>> ${ipfw} add 1004 allow ip from any to
>>${uprefix}.4 via ${ifuser}
>> ${ipfw} add 1005 allow ip from ${uprefix}.5 to
>>any via ${ifuser}
>> ${ipfw} add 1005 allow ip from any to
>>${uprefix}.5 via ${ifuser}
>>natd - запускается пучком, что не так подскажите, уже столько правил перепробовал,
>>инет есть, а пинга всё равно нет!
>>
>>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>>просто не представляю какого правила там ещё не хватает, и каким
>>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>>правда!
>
>###########################################################################
># ICMP
># Разрешить
>все ICMP пакеты на внутренних интерфейсах
>#${fwcmd} add pass icmp from any to any via ${iif1}
>#${fwcmd} add pass icmp from any to any via ${iif2}
>
># (3) Dest Unrechable, Service Unavailable
>
># Входящие
>и исходящие данные, передаваемые при определении
># размера;
>сообщения о том, что узел или сервер недоступны;
># отклик
>traceroute
># (4) Source Quench
># Входящие
>и исходящие запросы с требованием замедления передачи
># (11) Time Exceeded
># Входящие
>и исходящие сообщения о тайм-ауте, а также
># TTL-сообщения
>traceroute
># (12) Parameter Problem
># Входящие
>и исходящие сообщения об ошибках
># Разрешить передачу и прием пакетов Ping по любым адресам
>
>
>${fwcmd} add pass icmp from any to any icmptypes 0,8,3,4,11,12 via ${oif}
>
>
># Allow IP fragments to pass through
>${fwcmd} add pass all from any to any frag
>
>С уважением Алексей Леончик
Не работает, tcpdump вот что пишет я не знаю что это такое
11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
- С правилами непонятка, newser, 14:03 , 08-Июл-05 (9)
- С правилами непонятка, nickdi, 14:43 , 08-Июл-05 (10)
>>Не работает, tcpdump вот что пишет я не знаю что это такое
>>
>>11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
>>11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
>>11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
>
>Правила для прохождения icmp-пакетов нужно расположить после nat'овых.
вот поставил что получаю
192.168.0.10 > ns.pk.ua: icmp: echo request
ns.pk.ua > office.pk.ua: icmp: echo reply
ns.pk.ua > office.pk.ua: icmp: echo reply
office.pk.ua > ns.pk.ua: icmp: echo request
а пинга не видно
|
Версия для распечатки
