Не могу понять, что случилось с роутером: перестал пускать народ в интернет по всем портам, кроме 80-го (http). Началась такая ерунда пару недель назад, хотя до этого все работало месяца три или четыре просто идеально. В конфигах роутера ничего не менялось после установки.C самого роутера в инет можно коннектиться куда угодно и на какие угодно порты, не пускает именно "серую" подсеть за ним... Грешил поначалу на сквид - убрал из автозагрузки, в файрволе 101-ю строку убрал -> ничего не изменилось.
Подскажите, в какую сторону копать?...
************* /etc/rc.conf ****************
[15:12]-[/etc]-[mars] # cat /etc/rc.conf
defaultrouter="195.239.218.1"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
keyrate="fast"
keychange="61 ^[[K"
gateway_enable="YES"
hostname="mars.domain.ru"
ifconfig_xl0="inet 192.168.128.33 netmask 255.255.255.0"
# -- sysinstall generated deltas -- # Sun Dec 15 13:53:12 2002
ifconfig_rl0="inet 195.239.218.77 netmask 255.255.255.0"
inetd_enable="NO"
kern_securelevel_enable="NO"
local_startup="/usr/local/etc/rc.d"
mousechar_start="3"
nfs_reserved_port_only="YES"
#sshd_enable="YES"
#sshd_program="/usr/local/sbin/sshd"
usbd_enable="NO"
#named_enable="YES"
#named_program="/usr/local/sbin/named"
#named_flags="-c /etc/namedb/named2.conf"
firewall_enable="YES"
firewall_script="/etc/temp_ipfw.sh"
#firewall_type="OPEN"
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="rl0"
natd_flags="-dynamic -unregistered_only"
tcp_restrict_rst="YES"
#tcp_drop_synfin="YES"
syslogd_enable="YES"
syslogd_flags="-vv -l /chroot/named/logs"
sendmail_enable="NONE"
sendmail_flags="-bd"
sendmail_outbound_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
### Network Time Services options: ###
timed_enable="NO" # Run the time daemon (or NO)
timed_flags="" # Flags to timed (if enabled)
ntpdate_enable="NO" # Run ntpdate to sync time on boot (or NO)
ntpdate_program="ntpdate" # path to ntpdate, if you want a different one
ntpdate_flags="" # Flags to ntpdate (if enabled)
xntpd_enable="YES" # Run ntpd Network Time Protocol (or NO)
xntpd_program="ntpd" # path to ntpd, if you want a different one
xntpd_flags="-A -l /var/log/ntpd.log -p /var/run/ntpd.pid" # Flags to ntpd (if enabled)
********************************************
************* ifconfig -a ****************
[15:11]-[/etc]-[mars] # ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 195.239.218.77 netmask 0xffffff00 broadcast 195.239.218.255
ether 00:02:44:34:6c:c8
media: Ethernet autoselect (10baseTX)
status: active
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.128.33 netmask 0xffffff00 broadcast 192.168.128.255
ether 00:60:08:46:7e:5f
media: Ethernet autoselect (100baseTX)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
*******************************************
************* /etc/natd.conf ****************
[15:13]-[/etc]-[mars] # cat /etc/natd.conf
log no
verbose no
deny_incoming no
log_denied yes
log_facility security
use_sockets yes
same_ports yes
***********************************************
************* /etc/temp_ipfw.sh ****************
[15:14]-[/etc]-[mars] # cat /etc/temp_ipfw.sh
#!/bin/shfwcmd="/sbin/ipfw"
external_interface="rl0" # Internet interface
lan_diapasone="192.168.128.0/24"
${fwcmd} add 100 divert natd all from any to any in via $external_interface
${fwcmd} add 101 fwd 127.0.0.1,3128 tcp from $lan_diapasone to any 80${fwcmd} add 110 allow all from any to any
**********************************************
************* ipfw show ****************
[15:19]-[/etc]-[mars] # ipfw show
00100 0 0 divert 8668 ip from any to any in recv rl0
00101 4 352 fwd 127.0.0.1,3128 tcp from 192.168.128.0/24 to any 80
00110 78946 8125502 allow ip from any to any
65535 0 0 deny ip from any to any
*****************************************
Кусок squid.conf (фильтров и ограничений в сквиде никаких не заведено).acl our_network src 192.168.128.0/24
http_access allow our_network# And finally deny all other access to this proxy
http_access deny all
******************************************Вот, в общем, и все...
Просто не понимаю из-за чего это могло произойти :(
Барнаул?
Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о нем ), а вообще лучше сделать форвардом, ищи на форуме по ключевому слову firewall
Bart Simpson:
Нет.СергейКа:
>Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о
>нем ), а вообще лучше сделать форвардом, ищи на форуме по
>ключевому слову firewall"в natd нет упоминания" - это в natd.conf ? или в man natd?
В man 8 natd есть строка примера - /sbin/ipfw add divert natd all from any to any via ed0, по ней все и делалось.В /etc/services строка 8668 раскомментарена:
[17:12]-[/chroot]-[mars] # cat /etc/services | grep natd
natd 8668/divert # Network Address Translation
>Bart Simpson:
>Нет.
>
>СергейКа:
>>Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о
>>нем ), а вообще лучше сделать форвардом, ищи на форуме по
>>ключевому слову firewall
>
>"в natd нет упоминания" - это в natd.conf ? или в man
>natd?
>В man 8 natd есть строка примера - /sbin/ipfw add divert natd
>all from any to any via ed0, по ней все и
>делалось.
>
>В /etc/services строка 8668 раскомментарена:
>
>[17:12]-[/chroot]-[mars] # cat /etc/services | grep natd
>natd
>8668/divert # Network Address TranslationОбновляли ли Вы исходники системы?
Какая у Вас версия ОС?
Я же говорю - ИЩИ ПО ПОИСКУ - FIREWALL, умные люди говорят, что вместо диверта надо использовать форвард!
Ссылки? Пожалуста:Ключевые слова: firewall, ipfw, squid, freebsd, (найти похожие документы)
_ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _
From : Beso Tsitelashvily 2:5020/400 18 Nov 99 12:00:14
Subj : Как повернуть все http-запросы на Squid
________________________________________________________________________________
From: "Beso Tsitelashvily" <beso@caucasus.net>"Denis Bakhtin" <admin@ultramed-m.ru> wrote in message
news:80s2hj$ac3$1@news2.aha.ru...> Как повернуть все http-запросы на Squid ?
> Пишу ipfw add 00210 divert 8080 any to any 80 - не работает.
> У меня FreeBSD 2.2.6, natd родной:
> natd -s -p 8668 -u -m -n de0
> ipfw add 00200 divert 8668 ip from any to any via de0ipfw add 300 fwd 127.0.0.1,80 tcp from any to ${proxy&www server} 80 #
приходящие на мой апач пусть идут на мой апач!
ipfw add 400 fwd 127.0.0.1,3128 tcp from any to any 80 # а не на мой
апач(значит на чужой!) только через мой скуид!
--- ifmail v.2.14dev3
* Origin: Public Gamma NNTP server Moscow Russia (2:5020/400)Ключевые слова: freebsd, ipfw, forward, squid, firewall, (найти похожие документы)
_ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _
From : Alexander Kotelnikov 2:5020/400 04 Nov 99 12:01:28
Subj : [FreeBSD] Пpинудительное завоpачивание пакетов с 80 на 3128
________________________________________________________________________________
From: "Alexander Kotelnikov" <alex@mi.msu.su>Andy Bogdanov <Andy.Bogdanov@f7.n5008.z2.fidonet.org> сообщил в новостях
следующее:941731199@f7.n5008.z2.ftn...> даю команду
> ipfw add divert 3128 tcp from any to any 80 via xl*
> вроде как и не ругается - но и подсоединиться клиенту не удается на 80
порт...
> почему? что я неправильно делаю?
> 2.2.8 - если это что-то дает...Хе! Два дня назад я на эти грабли наступал в relcom.fido.ru.unix.bsd (в эту
эху почему-то не проходили сообщения)
Hадо пользовать не divert, а forwardipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
И добавь сквиду в конфиг:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header onРеально для работы нужна последняя строка, но первые три тоже не лишние :)
--
Alexander Kotelnikov <alex@mi.msu.su>