- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Pahanivo, 13:21 , 29-Июл-08 (1)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Сергей, 11:52 , 01-Авг-08 (4)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 17:49 , 04-Авг-08 (9)
> Хотелось бы узнать мотивы автора, по которым он использует файрволл, открытый по > умолчанию... > Я бы понял, если бы использовался прозрачный прокси...Фаер был открыт по умолчанию т.к. ядро я собирал и все настраивал по ssh. В скрипте последнее правило запрещает весь трафик - оно кроет дефолтное открытое. Какие проблемы? =) >А применительно к 7-ке, можно и другой планировщик в ядре использовать и поддержку nat > прямо в IPFW внедрить > options IPFIREWALL_NAT Пробовал я этот ядерный нат, но смысла в переходе на него пока не вижу. У меня нагрузка на шлюз небольшая т.ч. natd вполне устаривает, плюс в ядерном правила как-то не особо удобно пишутся :P
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Сергей, 16:16 , 06-Авг-08 (10)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 00:29 , 09-Авг-08 (11)
> Да также они пишутся...Не соглашусь. Из мана по ipfw:
NAT, REDIRECT AND LSNAT First redirect all the traffic to nat instance 123: ipfw add nat 123 all from any to any Then to configure nat instance 123 to alias all the outgoing traffic with ip 192.168.0.123, blocking all incoming connections, trying to keep same ports on both sides, clearing aliasing table on address change and keep- ing a log of traffic/link statistics: ipfw nat 123 config ip 192.168.0.123 log deny_in reset same_ports Or to change address of instance 123, aliasing table will be cleared (see reset option): ipfw nat 123 config ip 10.0.0.1 To see configuration of nat instance 123: ipfw nat 123 show config To show logs of all the instances in range 111-999: ipfw nat 111-999 show To see configurations of all instances: ipfw nat show config Or a redirect rule with mixed modes could looks like: ipfw nat 123 config redirect_addr 10.0.0.1 10.0.0.66 redirect_port tcp 192.168.0.1:80 500 redirect_proto udp 192.168.1.43 192.168.1.1 redirect_addr 192.168.0.10,192.168.0.11 10.0.0.100 # LSNAT redirect_port tcp 192.168.0.1:80,192.168.0.10:22 500 # LSNAT or it could be splitted in: ipfw nat 1 config redirect_addr 10.0.0.1 10.0.0.66 ipfw nat 2 config redirect_port tcp 192.168.0.1:80 500 ipfw nat 3 config redirect_proto udp 192.168.1.43 192.168.1.1 ipfw nat 4 config redirect_addr 192.168.0.10,192.168.0.11,192.168.0.12 10.0.0.100 ipfw nat 5 config redirect_port tcp 192.168.0.1:80,192.168.0.10:22,192.168.0.20:25 500
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Peter, 16:39 , 10-Авг-08 (13)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Morfius, 09:40 , 13-Окт-08 (15)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), cahvay, 12:19 , 21-Ноя-08 (19)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 12:33 , 21-Ноя-08 (20)
>> makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols > >а это зачем для "интернет шлюза на freebsd"? Эта опция по умолчанию содержится в дефолтном конфиге ядра и суть ее в следующем: "Эта опция добавляет в бинарный файл доп. символы для отладки через gdb. Влияния на производительность никакого."
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), eXoit, 17:38 , 14-Дек-08 (22)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Sliver, 12:31 , 15-Янв-09 (24)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Tavork, 22:22 , 18-Мрт-09 (28)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., mak, 16:28 , 21-Мрт-09 (29)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Tavork, 11:14 , 25-Мрт-09 (30)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 13:01 , 26-Мрт-09 (31)
Для этого в конфиге имеется:$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state $cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Tavork, 10:14 , 27-Мрт-09 (32)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 10:18 , 27-Мрт-09 (33)
>Но это не помогло, может сквид мешает? Правила файерволла я брал из >статьи как есть, а сквид у меня почти аналогичен, только у >меня самс стоит и еще на всякий случай прописал >acl Safe_ports port 110 >acl Safe_ports port 25 А при чем тут сквид? Он вообщето кешированием занимается.
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Tavork, 17:01 , 27-Мрт-09 (34)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..., Alchemist, 17:09 , 27-Мрт-09 (35)
>>>Но это не помогло, может сквид мешает? Правила файерволла я брал из >>>статьи как есть, а сквид у меня почти аналогичен, только у >>>меня самс стоит и еще на всякий случай прописал >>>acl Safe_ports port 110 >>>acl Safe_ports port 25 >> >>А при чем тут сквид? Он вообщето кешированием занимается. > >Ну тогда из-за чего у меня наотрез отказываются работать почтовые программы клиентов >внутри локальной сети??? Что им мешает? 1) lannet="192.168.0.0/24" 2) # Нет запретов внутри интерфейса смотрящего в локальную сеть $cmd 010 allow all from any to any via re0
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), mak, 15:00 , 30-Мрт-09 (37)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., geminis, 12:48 , 31-Мрт-09 (39)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., geminis, 13:11 , 31-Мрт-09 (40) +1
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 13:15 , 31-Мрт-09 (41)
>Спасибо автору за статью! >Сделал все как в статье, но почему-то не работают клиент-банки (443 порт) и аська (5190). >Также в браузере не грузятся странички с безопасным соединением (например gmail.com): >При соединении с www.google.com произошла ошибка. >SSL получило запись, длина которой превышает максимально допустимую. >(Код ошибки: ssl_error_rx_record_too_long)У https есть косяк с прозрачным прокси, т.ч. его лучше на сквид не заворачивать, а напрямую выпускать. Либо прописать прокси в браузере или самом клиент-банке...
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Tavork, 11:26 , 10-Апр-09 (43)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., cahvay, 18:58 , 12-Апр-09 (44)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Tavork, 11:07 , 30-Апр-09 (45)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Tavork, 12:41 , 30-Апр-09 (46)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Tavork, 15:24 , 22-Май-09 (47)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 16:07 , 22-Май-09 (48)
>Никто не поможет??? >Что неужели только у меня такая проблема? SMTP сервер требует авторизацию? Проходит ли telnet mailserver 25 ?
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., sergeyl, 01:29 , 25-Май-09 (49)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 10:35 , 25-Май-09 (50)
>По всей видимости загвоздка в переходе семёрки на кернел-нат. >точнее в не полной совместимости с предыдущей версией. Уважаемый! Kernel NAT в этой статье вообще не используется! NATD =))) >месяца три назад надо было по быстрому шлюзик поднять. >при прочих равных (ядро, конфиги) нат под семёркой не пошло...... >Т.к. разбираться некогда было, заменил её на шестёрку и всё стало шеколадно..... Конфиги нужно не просто тупо копировать, а под себя подгонять. >Автор же этой, ну статьёй назвать трудно, скорёй записка на память Тут соглашусь, записка на пямять и была... по которой поднят не один десяток таких шлюзов. >ни в ядре, не в фаерволе особо то не разбирается, А с такими заявлениями нужно быть осторожнее, тем более что исходя из выше написанного вы сами мало что из себя представляете. >поэтому ничего и не описывал... Описано все в достаточном объеме для начального уровня, с учетом наличия хотябы базовых знаний по стеку TCP/IP. > и порты както.... ну.... в общем по своему строил ;-) А вы что хотели? чтобы я конфиг конкретно под ваш у машинку написал? )) >ну а Вам либо шестую версию ставить, либо использовать кернел-нат. Либо не слушать всях долбо... сомнительных персонажей, а читать маны и продолжать разбираться в системе PS: Если кто-то не в курсе, уже давно есть вторая часть статьи, велкам! https://www.opennet.ru/base/net/freebsd_gw3.txt.html
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., sergeyl, 13:36 , 25-Май-09 (51)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 14:45 , 25-Май-09 (52)
Моя статья не включает руководство по настройке почтовых систем, о чем я намекнул в одном из постов. Я НЕ ХОЧУ помогать тут никому настраивать почтовики, т.к. это уже оффтоп.Насчет ваших стандартов по написанию статей - я повторяться не буду, статья написан как есть, для людей, в надежде что кому-то она будет полезна. И поверьте, очень многим она помогла. А вот вы первый, кому за год эта статья показалась не подробной и кто начал возмущаться по этому поводу. Если что-то не получается, то обращайтесь в icq - помогу. А если вам просто потрепаться, то просьба не засорять топик, а направить потенциал в более полезное русло, например на написание статьи, которая будет более полноценной и полезной.
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., sergeyl, 21:36 , 25-Май-09 (53) +1
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 23:23 , 25-Май-09 (54)
>Как то Вы молодой человек неадекватно реагируете на мои сообщения. Я очень адекватно реагирую и довольно четко обозначаю свою позицию. >И почему то начинаете открещиваться от того, что никто Вам в вину >не ставил (Kernel NAT, почтовые системы) Повторюсь - обсуждение работы почтовых систем находится вне рамок этой статьи. У человека, за которого вы яро заступаетесь, проблема явно не с тем, о чем пишется в статье, т.к. статья описывает чистую установку на вышеуказанной системе с вышеуказанным набором ПО , что было без проблем реализовано на серверах не один десяток раз и не одним мной. >Еже ли Вас задело моё отношение к Вам как специалисту, то уж >извините, такое оно сложилось после прочтения этой статьи и Ваших сообщений >в данном форуме. Ваше мнение относительно моей компетентности в данном вопросе меня не особо интересует, т.к. вы не входите в круг авторитарных для меня лиц. Не понравилось то, что вы довольно категорично ставите диагнозы, при этом не подкрепляя их конкретными фактами.
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Tavork, 09:49 , 26-Май-09 (55)
- Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..., Alchemist, 10:11 , 27-Май-09 (56)
>[оверквотинг удален] >telnet smtp.pochta.ru 25 - не удается подключится к узлу. Сбой подключения. >SMTP авторизация настроена. >Переход на 6-ую версию пока не возможен из-за отстутствия замены для сервера, >по той же причине не возможна чистая установка по схеме из >статьи, FreeBSD все-таки не amd64. >Насчет кернел-нат посмотрю поподробнее, спасибо. >По поводу настройки почтовых систем как оффтопа, я же все-таки не почтовый >сервер ставлю. Пропускать почту через мимо себя обычная функция интенет-сервера. > >Alchemist, icq не подскажите? Подскажу - 209209703
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Игорь, 12:04 , 12-Мрт-10 (57)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), xom94ok, 15:38 , 25-Мрт-10 (62)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), SunWind, 11:21 , 24-Апр-12 (64)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Дмитрий Ю. Карпов, 16:15 , 28-Окт-12 (66)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), tehnikpc, 17:16 , 06-Фев-13 (67)
- Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy), Alchemist, 21:52 , 06-Фев-13 (68)
> "# Нет запретов внутри интерфейса смотрящего в локальную сеть > $cmd 010 allow all from any to any via re0" > Толку тогда от фаерволла ноль.А вот это ты братец погнал! Толку ноль как раз это ограничивать. Относительно локалки фаервол - это доверенный девайс. А если же его взломают и захотят полезть с него в локалку - взломщик сам себе какие надо порты откроет. А вообще я удивляюсь, что это статью кто-то еще читает. =) Видимо фря с ipfw еще у кого-то жива. Сам я сначала на pf в качестве фаера перешел, а потом и вовсе на linux перебрался.
|