Помогите найти ошибку (ipfw)
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Помогите найти ошибку (ipfw) - 2005-04-27 17:11:19
|
|
|
^Vincent
Сообщений: 2
Оценки: 0
Присоединился: 2005-04-27 15:37:57
|
rl0 - внешний интерфейс
sis0 - внутренний интерфейс
# Разpешаем NAT
add divert natd all from 192.168.0.0.24 to any out via rl0
add divert natd all from any to 192.168.0.0.24 in via rl0
add allow icmp from any to any
# Пpавила для DNS
add allow udp from any to any 53
add allow udp from any 53 to any
add allow tcp from any to any 443
add allow tcp from any 443 to any
add allow tcp from any to any 80
add allow tcp from any 80 to any
#Ася
add allow tcp from any to any 5190
add allow tcp from any 5190 to any
#Почта
add allow tcp from any to any 25, 110
add allow tcp from any 25,110 to any
#Разрешаю "рулить" серваком по ssh из внутренней сетки
add allow tcp from any to any 22 via sis0
add allow tcp from any 22 to any via sis0
add deny log ip from any to any
клиенты не могут выйти в инет.
Спасибо.
|
|
|
|
|
Помогите найти ошибку (ipfw) - 2005-04-28 19:21:15
|
|
|
gastur
Сообщений: 63
Оценки: 0
Присоединился: 2004-06-13 13:06:49
|
Не уверен, но м.б. стоит:
- в конец первого правила добавить keep-state;
добавить поближе к началу что-нибудь вроде:
allow ip from any to any established
И, кстати, почему маска внутренней сетки записана в приведенных правилах через точку, а не через слеш?
|
|
|
|
|
Помогите найти ошибку (ipfw) - 2005-04-29 13:07:48
|
|
|
^Vincent
Сообщений: 2
Оценки: 0
Присоединился: 2005-04-27 15:37:57
|
да там стоит вместо точки слеш (опечатался).
Как мне кажется, не успел проверить, нужно запрет (последнее правило) делать только дл внешнего интерфейса, т.е.
add deny log ip from any to any in via rl0 setup
попробую во вторник. Если кому интересно, могу сообщить о результатах.
|
|
|
|
|
Помогите найти ошибку (ipfw) - 2005-04-29 19:39:25
|
|
|
gastur
Сообщений: 63
Оценки: 0
Присоединился: 2004-06-13 13:06:49
|
Насчет последнего правила - вряд ли, т.к. последенее правило (65535) автоматом по умолчанию прописывается как запрещающее (deny ip from any to any) - и это нисколько не мешает прохождению пакетов, разрешенных предыдущими правилами. Енто ж фильтр - пакеты, попадающие под идущее первым разрешающее правило, с последующими правилами уже не сличаются.
О результатах пиши, впрочем.
P.S. Помимо написанного мной в предыд. посте: к правилам, разрешающим создание соединений, неплохо было бы в конце добавлять setup
|
|
|
|
|
|
