С правилами непонятка, nickdi, 06-Июл-05, 16:48 [смотреть все]Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое правило надо написать что б дать доступ из локальной сети пинговать тазик провайдера? вот как сейчас настроено ipfw='/sbin/ipfw -q' ournet='192.168.0.0/16' uprefix='192.168.0' oprefix='xxx.xxx.xxx.xxx' ifout='ppp0' ifuser='rl0' ${ipfw} flush ${ipfw} add 50 deny ip log from any to any ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 300 allow ip from any to any via lo0 ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 320 allow icmp from any to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 410 allow tcp from any ${ournet} to me smtp ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${ ifout} ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout} #${ipfw} add 520 divert natd ip from ${ournet} to any out via ${ifuser} ${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser} ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser} ${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser} ${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser} ${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser} ${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser} ${ipfw} add 1005 allow ip from ${uprefix}.5 to any via ${ifuser} ${ipfw} add 1005 allow ip from any to ${uprefix}.5 via ${ifuser} natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, инет есть, а пинга всё равно нет! Дело в том что я первый так сказать раз настраиваю фаэрвол, и просто не представляю какого правила там ещё не хватает, и каким образом мне поможет tcpdump тоже не пойму. Может это смешно но правда! |
- С правилами непонятка, A Clockwork Orange, 17:02 , 06-Июл-05 (1)
- С правилами непонятка, nickdi, 17:16 , 06-Июл-05 (2)
>Правило, >${ipfw} add 50 deny ip log from any to any >закрывает ВСЕ. я его убирал и без него тоже ничего не получается !
- С правилами непонятка, nickdi, 17:17 , 06-Июл-05 (3)
>Правило, >${ipfw} add 50 deny ip log from any to any >закрывает ВСЕ. Я и без него пробовал тот же эффект!
- С правилами непонятка, Alexey Leonchik, 10:39 , 07-Июл-05 (7)
- С правилами непонятка, nickdi, 12:34 , 08-Июл-05 (8)
>>Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое >>правило надо написать что б дать доступ из локальной сети пинговать >>тазик провайдера? вот как сейчас настроено >>ipfw='/sbin/ipfw -q' >> ournet='192.168.0.0/16' >> uprefix='192.168.0' >> oprefix='xxx.xxx.xxx.xxx' >> ifout='ppp0' >> ifuser='rl0' >> ${ipfw} flush >> ${ipfw} add 50 deny ip log from >>any to any >> ${ipfw} add 100 check-state >> ${ipfw} add 200 deny icmp from any to >>any in icmptype 5,9,13,14,15,16,17 >> ${ipfw} add 300 allow ip from any to >>any via lo0 >> ${ipfw} add 310 allow tcp from me to >>any keep-state via ${ifout} >> ${ipfw} add 320 allow icmp from any to >>any >> ${ipfw} add 330 allow udp from me to >>any domain keep-state >> ${ipfw} add 340 allow udp from any to >>me domain >> ${ipfw} add 350 allow ip from me to >>any >> ${ipfw} add 400 allow tcp from any to >>me http,https,ssh >> ${ipfw} add 410 allow tcp from any ${ournet} >>to me smtp >> ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} >>to any http out via ${ >>ifout} >> ${ipfw} add 510 divert natd ip from ${ournet} >>to any out via ${ifout} >> #${ipfw} add 520 divert natd ip from ${ournet} to >>any out via ${ifuser} >> >> ${ipfw} add 1002 allow ip from ${uprefix}.2 to >>any via ${ifuser} >> ${ipfw} add 1002 allow ip from any to >>${uprefix}.2 via ${ifuser} >> ${ipfw} add 1003 allow ip from ${uprefix}.3 to >>any via ${ifuser} >> ${ipfw} add 1003 allow ip from any to >>${uprefix}.3 via ${ifuser} >> ${ipfw} add 1004 allow ip from ${uprefix}.4 to >>any via ${ifuser} >> ${ipfw} add 1004 allow ip from any to >>${uprefix}.4 via ${ifuser} >> ${ipfw} add 1005 allow ip from ${uprefix}.5 to >>any via ${ifuser} >> ${ipfw} add 1005 allow ip from any to >>${uprefix}.5 via ${ifuser} >>natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, >>инет есть, а пинга всё равно нет! >> >>Дело в том что я первый так сказать раз настраиваю фаэрвол, и >>просто не представляю какого правила там ещё не хватает, и каким >>образом мне поможет tcpdump тоже не пойму. Может это смешно но >>правда! > >########################################################################### ># ICMP ># Разрешить >все ICMP пакеты на внутренних интерфейсах >#${fwcmd} add pass icmp from any to any via ${iif1} >#${fwcmd} add pass icmp from any to any via ${iif2} > ># (3) Dest Unrechable, Service Unavailable > ># Входящие >и исходящие данные, передаваемые при определении ># размера; >сообщения о том, что узел или сервер недоступны; ># отклик >traceroute ># (4) Source Quench ># Входящие >и исходящие запросы с требованием замедления передачи ># (11) Time Exceeded ># Входящие >и исходящие сообщения о тайм-ауте, а также ># TTL-сообщения >traceroute ># (12) Parameter Problem ># Входящие >и исходящие сообщения об ошибках ># Разрешить передачу и прием пакетов Ping по любым адресам > > >${fwcmd} add pass icmp from any to any icmptypes 0,8,3,4,11,12 via ${oif} > > ># Allow IP fragments to pass through >${fwcmd} add pass all from any to any frag > >С уважением Алексей Леончик Не работает, tcpdump вот что пишет я не знаю что это такое 11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27 11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request 11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
- С правилами непонятка, newser, 14:03 , 08-Июл-05 (9)
- С правилами непонятка, nickdi, 14:43 , 08-Июл-05 (10)
>>Не работает, tcpdump вот что пишет я не знаю что это такое >> >>11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27 >>11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request >>11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request > >Правила для прохождения icmp-пакетов нужно расположить после nat'овых. вот поставил что получаю 192.168.0.10 > ns.pk.ua: icmp: echo request ns.pk.ua > office.pk.ua: icmp: echo reply ns.pk.ua > office.pk.ua: icmp: echo reply office.pk.ua > ns.pk.ua: icmp: echo request а пинга не видно
|