forum.opennet.ru - "Нужен срочный хелп по правилам ipfw" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Нужен срочный хелп по правилам ipfw"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Нужен срочный хелп по правилам ipfw"
Сообщение от Maxz (ok) on 14-Дек-04, 12:29 (MSK)
Граждане, помогите, пожалуйста. Стоит FreBSD 5.1 + Squid stable7 Имею вот такой конфиг для ipfw: #!/bin/sh # envars fwcmd="/sbin/ipfw -q" #xl0 - external #dc0 - internal #212.xx.xxx.64/255.255.255.224 - my subnet #212.xx.xxx.167 - my external address #212.xx.xxx.65 - internal router address # init ${fwcmd} -f flush ${fwcmd} add 200 pass icmp from any to any #allow all icmp ${fwcmd} add 300 pass tcp from any to any established ${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports ${fwcmd} add 300 pass tcp from any to any 53 #DNS ${fwcmd} add 300 pass tcp from any to any 113 in via xl0 ${fwcmd} add 300 pass tcp from any to any 25 in #smtp ${fwcmd} add 300 pass udp from any to any 49152-65535 ${fwcmd} add 300 pass udp from any to any 53 ${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator ${fwcmd} add 600 deny tcp from any to any 135 via xl0 ${fwcmd} add 600 deny tcp from any to any 137 via xl0 ${fwcmd} add 600 deny tcp from any to any 139 via xl0 ${fwcmd} add 600 deny tcp from any to any 140 via xl0 ${fwcmd} add 600 deny tcp from any to any 141 via xl0 ${fwcmd} add 600 deny tcp from any to any 69 via xl0 ${fwcmd} add 600 deny tcp from any to any 4444 via xl0 #router ${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0 ${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0 ${fwcmd} add 700 pass tcp from any to any 22 ${fwcmd} add 700 pass tcp from any to any 23 ${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0 ${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0 #my subnet rules ${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any ${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224 ########################################################### # Global reject rules ########################################################### #${fwcmd} add 63000 pass all from any to any ${fwcmd} add 65000 deny all from any to any почему не пускает в инет? Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб доступ к ним был без прокси, а в остальные места - только через проксик (поэтому в правилах роутеру разрешено все). Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я в *никсах полный ламер, без помощи "взрослых" все настраивал :) А сроки поджимают - сегодня к вечеру надо все настроить.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Нужен срочный хелп по правилам ipfw, Maxz, 17:10 , 21-Дек-04, (1)
- Нужен срочный хелп по правилам ipfw, dravor, 17:22 , 21-Дек-04, (2)
Нужен срочный хелп по правилам ipfw, alexvs, 21:37 , 21-Дек-04, (3)
- Нужен срочный хелп по правилам ipfw, Maxz, 22:16 , 21-Дек-04, (4)
  - Нужен срочный хелп по правилам ipfw, Z_M, 08:43 , 22-Дек-04, (5)
    - Нужен срочный хелп по правилам ipfw, Maxz, 14:15 , 22-Дек-04, (6)
      - Нужен срочный хелп по правилам ipfw, Z_M, 14:24 , 22-Дек-04, (7)
        
        Нужен срочный хелп по правилам ipfw, Maxz, 17:26 , 22-Дек-04, (8)
        
        Нужен срочный хелп по правилам ipfw, Z_M, 17:32 , 22-Дек-04, (9)
        
        Нужен срочный хелп по правилам ipfw, Maxz, 20:26 , 22-Дек-04, (10)
        
        Нужен срочный хелп по правилам ipfw, Z_M, 11:40 , 23-Дек-04, (12)
        
        Нужен срочный хелп по правилам ipfw, Maxz, 17:28 , 23-Дек-04, (13)
Нужен срочный хелп по правилам ipfw, alexvs, 11:35 , 23-Дек-04, (11)
- Нужен срочный хелп по правилам ipfw, Z_M, 17:47 , 23-Дек-04, (14)
Нужен срочный хелп по правилам ipfw, zlodey, 18:52 , 24-Дек-04, (15)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 21-Дек-04, 17:10  (MSK)

ну поможите хоть кто-нибудь!!!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Нужен срочный хелп по правилам ipfw"

Сообщение от dravor on 21-Дек-04, 17:22  (MSK)

>ну поможите хоть кто-нибудь!!!

man ipfw
google.ru
opennet.ru

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Нужен срочный хелп по правилам ipfw"

Сообщение от alexvs (ok) on 21-Дек-04, 21:37  (MSK)

Во первых, я бы всем правилам раздал разные номера, а тл вдруг что-то необходимо будет поскоренькому удалить из прпавил путём ipfw delete rule и что тогда?
Так как у вас FreeBSD 5.1, то стоит ipfw2 с которым эти правила можно привести в более читабельный вид:
заменить
${fwcmd} add 600 deny tcp from any to any 135 via xl0
${fwcmd} add 600 deny tcp from any to any 137 via xl0
${fwcmd} add 600 deny tcp from any to any 139 via xl0
${fwcmd} add 600 deny tcp from any to any 140 via xl0
${fwcmd} add 600 deny tcp from any to any 141 via xl0
${fwcmd} add 600 deny tcp from any to any 69 via xl0
${fwcmd} add 600 deny tcp from any to any 4444 via xl0
на
${fwcmd} add 600 deny tcp from any to any 69,135,137,139,140,141,4444 via xl0
А вообще на этом сайте куча примеров правил к ipfw.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 21-Дек-04, 22:16  (MSK)

Дык вроде у меня все правильно написано, но почему не работает?
И мне, как ламеру, сложно разобраться, что мне подойдет, а что - нет, так что примеры мне не помогут, главное - совет знающих :)
Спасибо

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Нужен срочный хелп по правилам ipfw"

Сообщение от Z_M (ok) on 22-Дек-04, 08:43  (MSK)

всем здямте!
вомервых ,ДРАВОР, тут ваш бестолкового совет читать ман не поможет, могли бы не сотрясать воздух.
по поводу субжа-а где ДИВЕРТ в первых строках фаервола и ,я полагаю, натд тоже не запущен? тогда:
/etc/rc.conf:
natd_enable="YES"
natd_interface="xl0"
natd_flags="-unregistered_only"
gateway_enable="YES"
firewall.conf(или что там у вас):
$fwcmd add divert 8668 ip from any to any via xl0

зы:
в ядро должна быть вкомпиляна возможность диверта:
options         IPDIVERT
и придется ребутнуться
>Дык вроде у меня все правильно написано, но почему не работает?
>И мне, как ламеру, сложно разобраться, что мне подойдет, а что -
>нет, так что примеры мне не помогут, главное - совет знающих
>:)
>Спасибо

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 22-Дек-04, 14:15  (MSK)

Сразу встречные вопросы: что такое диверт и для чего нужен natd?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Нужен срочный хелп по правилам ipfw"

Сообщение от Z_M (ok) on 22-Дек-04, 14:24  (MSK)

а вот теперь надо почитать вот тут:
https://www.opennet.ru/docs/BSD/handbook/network-natd.html
коротко-чтобы перебрасывать пакеты с одной сетевой на другую (с внутренней на внешнюю),т.е. делать НАТ (о чем ссылка)
>Сразу встречные вопросы: что такое диверт и для чего нужен natd?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 22-Дек-04, 17:26  (MSK)

У меня внутри сети все айпишники реальные, в таком случае натд не нужен? Мне нужны прямые подключения извне к компам внутри сетки

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Нужен срочный хелп по правилам ipfw"

Сообщение от Z_M (ok) on 22-Дек-04, 17:32  (MSK)

ответ будет такой же аморфный как и вопрос :)
я полагаю не нужно ничего кроме настройки маршрутизации на пограничном маршрутизаторе и настройке фаервола.
natd не нужен - нужен route

>У меня внутри сети все айпишники реальные, в таком случае натд не
>нужен? Мне нужны прямые подключения извне к компам внутри сетки

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 22-Дек-04, 20:26  (MSK)

это есть, вопрос в первом сообщении был - почему в инет не лазит с указанными мной правилами? Если последним правилом указать allow all from any to any  - то естественно лазит :) Чего я забыл разрешить? Всякие ДНС и т.д. вроде как открыты, опять же - с роутера, который у меня одновременно и прокси, - все разрешено, но не пускает :(
Как быть? Уже всю голову поломал.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Нужен срочный хелп по правилам ipfw"

Сообщение от Z_M (ok) on 23-Дек-04, 11:40  (MSK)

что значит и прокси? юзеры в инет напрямую ходят или через прокси какойнить?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Нужен срочный хелп по правилам ipfw"

Сообщение от Maxz (ok) on 23-Дек-04, 17:28  (MSK)

напрямую юзвери ходят только по разрешенным адресам, которые я прописываю в фаерволле, а остальной инет - через проксю (сквид последний)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Нужен срочный хелп по правилам ipfw"

Сообщение от alexvs (ok) on 23-Дек-04, 11:35  (MSK)

А вы все deny заставте логироваться, а потом смотрите в security лог какие же пакеты были запрещены может и найдёте то что не стои задерживать.
Типа так:
${fwcmd} add 600 deny log tcp from any to any 4444 via xl0
а потом
tail -F /var/log/security
Всего хорошего.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Нужен срочный хелп по правилам ipfw"

Сообщение от Z_M (ok) on 23-Дек-04, 17:47  (MSK)

попробуй в правило 700 добавь
$ipfw add 700 allow ip from any to me via xl0
$ipfw add 700 allow ip from me to any via xl0

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Нужен срочный хелп по правилам ipfw"

Сообщение от zlodey (ok) on 24-Дек-04, 18:52  (MSK)

>Граждане, помогите, пожалуйста.
>Стоит FreBSD 5.1 + Squid stable7
>
>Имею вот такой конфиг для ipfw:
>
>#!/bin/sh
># envars
>fwcmd="/sbin/ipfw -q"
>
>
>#xl0 - external
>#dc0 - internal
>#212.xx.xxx.64/255.255.255.224 - my subnet
>#212.xx.xxx.167 - my external address
>#212.xx.xxx.65 - internal router address
>
># init
>${fwcmd} -f flush
>
>${fwcmd} add 200 pass icmp from any to any #allow all icmp
>
>
>${fwcmd} add 300 pass tcp from any to any established
>${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports
>
>${fwcmd} add 300 pass tcp from any to any 53 #DNS
>${fwcmd} add 300 pass tcp from any to any 113 in via
>xl0
>${fwcmd} add 300 pass tcp from any to any 25 in #smtp
>
>${fwcmd} add 300 pass udp from any to any 49152-65535
>${fwcmd} add 300 pass udp from any to any 53
>
>${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator
>
>
>${fwcmd} add 600 deny tcp from any to any 135 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 137 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 139 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 140 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 141 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 69 via xl0
>
>${fwcmd} add 600 deny tcp from any to any 4444 via xl0
>
>
>#router
>${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0
>${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0
>${fwcmd} add 700 pass tcp from any to any 22
>${fwcmd} add 700 pass tcp from any to any 23
>
>${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0
>${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0
>
>#my subnet rules
>${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any
>${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224
>
>###########################################################
># Global reject rules
>###########################################################
>#${fwcmd} add 63000 pass all from any to any
>${fwcmd} add 65000 deny all from any to any
>
>почему не пускает в инет?
>
>Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб
>доступ к ним был без прокси, а в остальные места -
>только через проксик (поэтому в правилах роутеру разрешено все).
>
>Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я
>в *никсах полный ламер, без помощи "взрослых" все настраивал :) А
>сроки поджимают - сегодня к вечеру надо все настроить.

А чем же ты пакеты заворачивать собираешься??
00070  406764  38025374 divert 8668 ip from any to not *.*.*.*/16 xmit xl0
00070       0         0 divert 8668 ip from any to not *.*.*.*/16 xmit xl0
00070       0         0 divert 8668 ip from any to not *.*.*.*/16 xmit xl0
00070       0         0 divert 8668 ip from any to not *.*.*.*/16 xmit xl0

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Нужен срочный хелп по правилам ipfw"
Сообщение от Maxz (ok) on 21-Дек-04, 17:10 (MSK)
ну поможите хоть кто-нибудь!!!
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Нужен срочный хелп по правилам ipfw"
	Сообщение от dravor on 21-Дек-04, 17:22 (MSK)
	>ну поможите хоть кто-нибудь!!! man ipfw google.ru opennet.ru
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "Нужен срочный хелп по правилам ipfw"
Сообщение от alexvs (ok) on 21-Дек-04, 21:37 (MSK)
Во первых, я бы всем правилам раздал разные номера, а тл вдруг что-то необходимо будет поскоренькому удалить из прпавил путём ipfw delete rule и что тогда? Так как у вас FreeBSD 5.1, то стоит ipfw2 с которым эти правила можно привести в более читабельный вид: заменить ${fwcmd} add 600 deny tcp from any to any 135 via xl0 ${fwcmd} add 600 deny tcp from any to any 137 via xl0 ${fwcmd} add 600 deny tcp from any to any 139 via xl0 ${fwcmd} add 600 deny tcp from any to any 140 via xl0 ${fwcmd} add 600 deny tcp from any to any 141 via xl0 ${fwcmd} add 600 deny tcp from any to any 69 via xl0 ${fwcmd} add 600 deny tcp from any to any 4444 via xl0 на ${fwcmd} add 600 deny tcp from any to any 69,135,137,139,140,141,4444 via xl0 А вообще на этом сайте куча примеров правил к ipfw.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Maxz (ok) on 21-Дек-04, 22:16 (MSK)
	Дык вроде у меня все правильно написано, но почему не работает? И мне, как ламеру, сложно разобраться, что мне подойдет, а что - нет, так что примеры мне не помогут, главное - совет знающих :) Спасибо
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Z_M (ok) on 22-Дек-04, 08:43 (MSK)
	всем здямте! вомервых ,ДРАВОР, тут ваш бестолкового совет читать ман не поможет, могли бы не сотрясать воздух. по поводу субжа-а где ДИВЕРТ в первых строках фаервола и ,я полагаю, натд тоже не запущен? тогда: /etc/rc.conf: natd_enable="YES" natd_interface="xl0" natd_flags="-unregistered_only" gateway_enable="YES" firewall.conf(или что там у вас): $fwcmd add divert 8668 ip from any to any via xl0 зы: в ядро должна быть вкомпиляна возможность диверта: options IPDIVERT и придется ребутнуться >Дык вроде у меня все правильно написано, но почему не работает? >И мне, как ламеру, сложно разобраться, что мне подойдет, а что - >нет, так что примеры мне не помогут, главное - совет знающих >:) >Спасибо
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Maxz (ok) on 22-Дек-04, 14:15 (MSK)
	Сразу встречные вопросы: что такое диверт и для чего нужен natd?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Z_M (ok) on 22-Дек-04, 14:24 (MSK)
	а вот теперь надо почитать вот тут: https://www.opennet.ru/docs/BSD/handbook/network-natd.html коротко-чтобы перебрасывать пакеты с одной сетевой на другую (с внутренней на внешнюю),т.е. делать НАТ (о чем ссылка) >Сразу встречные вопросы: что такое диверт и для чего нужен natd?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Maxz (ok) on 22-Дек-04, 17:26 (MSK)
	У меня внутри сети все айпишники реальные, в таком случае натд не нужен? Мне нужны прямые подключения извне к компам внутри сетки
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Z_M (ok) on 22-Дек-04, 17:32 (MSK)
	ответ будет такой же аморфный как и вопрос :) я полагаю не нужно ничего кроме настройки маршрутизации на пограничном маршрутизаторе и настройке фаервола. natd не нужен - нужен route >У меня внутри сети все айпишники реальные, в таком случае натд не >нужен? Мне нужны прямые подключения извне к компам внутри сетки
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Maxz (ok) on 22-Дек-04, 20:26 (MSK)
	это есть, вопрос в первом сообщении был - почему в инет не лазит с указанными мной правилами? Если последним правилом указать allow all from any to any - то естественно лазит :) Чего я забыл разрешить? Всякие ДНС и т.д. вроде как открыты, опять же - с роутера, который у меня одновременно и прокси, - все разрешено, но не пускает :( Как быть? Уже всю голову поломал.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Z_M (ok) on 23-Дек-04, 11:40 (MSK)
	что значит и прокси? юзеры в инет напрямую ходят или через прокси какойнить?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Maxz (ok) on 23-Дек-04, 17:28 (MSK)
	напрямую юзвери ходят только по разрешенным адресам, которые я прописываю в фаерволле, а остальной инет - через проксю (сквид последний)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

11. "Нужен срочный хелп по правилам ipfw"
Сообщение от alexvs (ok) on 23-Дек-04, 11:35 (MSK)
А вы все deny заставте логироваться, а потом смотрите в security лог какие же пакеты были запрещены может и найдёте то что не стои задерживать. Типа так: ${fwcmd} add 600 deny log tcp from any to any 4444 via xl0 а потом tail -F /var/log/security Всего хорошего.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Нужен срочный хелп по правилам ipfw"
	Сообщение от Z_M (ok) on 23-Дек-04, 17:47 (MSK)
	попробуй в правило 700 добавь $ipfw add 700 allow ip from any to me via xl0 $ipfw add 700 allow ip from me to any via xl0
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

15. "Нужен срочный хелп по правилам ipfw"
Сообщение от zlodey (ok) on 24-Дек-04, 18:52 (MSK)
>Граждане, помогите, пожалуйста. >Стоит FreBSD 5.1 + Squid stable7 > >Имею вот такой конфиг для ipfw: > >#!/bin/sh ># envars >fwcmd="/sbin/ipfw -q" > > >#xl0 - external >#dc0 - internal >#212.xx.xxx.64/255.255.255.224 - my subnet >#212.xx.xxx.167 - my external address >#212.xx.xxx.65 - internal router address > ># init >${fwcmd} -f flush > >${fwcmd} add 200 pass icmp from any to any #allow all icmp > > >${fwcmd} add 300 pass tcp from any to any established >${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports > >${fwcmd} add 300 pass tcp from any to any 53 #DNS >${fwcmd} add 300 pass tcp from any to any 113 in via >xl0 >${fwcmd} add 300 pass tcp from any to any 25 in #smtp > >${fwcmd} add 300 pass udp from any to any 49152-65535 >${fwcmd} add 300 pass udp from any to any 53 > >${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator > > >${fwcmd} add 600 deny tcp from any to any 135 via xl0 > >${fwcmd} add 600 deny tcp from any to any 137 via xl0 > >${fwcmd} add 600 deny tcp from any to any 139 via xl0 > >${fwcmd} add 600 deny tcp from any to any 140 via xl0 > >${fwcmd} add 600 deny tcp from any to any 141 via xl0 > >${fwcmd} add 600 deny tcp from any to any 69 via xl0 > >${fwcmd} add 600 deny tcp from any to any 4444 via xl0 > > >#router >${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0 >${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0 >${fwcmd} add 700 pass tcp from any to any 22 >${fwcmd} add 700 pass tcp from any to any 23 > >${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0 >${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0 > >#my subnet rules >${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any >${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224 > >########################################################### ># Global reject rules >########################################################### >#${fwcmd} add 63000 pass all from any to any >${fwcmd} add 65000 deny all from any to any > >почему не пускает в инет? > >Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб >доступ к ним был без прокси, а в остальные места - >только через проксик (поэтому в правилах роутеру разрешено все). > >Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я >в никсах полный ламер, без помощи "взрослых" все настраивал :) А >сроки поджимают - сегодня к вечеру надо все настроить. А чем же ты пакеты заворачивать собираешься?? 00070 406764 38025374 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not .../16 xmit xl0 00070 0 0 divert 8668 ip from any to not ...*/16 xmit xl0
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх