URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39791
[ Назад ]

Исходное сообщение
"Forward"

Отправлено ANoTher_ONe , 27-Янв-04 11:10 
Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к прову и забирать почту по поп3.
Какие правила надо добавить?

Содержание

Сообщения в этом обсуждении
"Forward"
Отправлено alk , 27-Янв-04 12:01 
>Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить
>одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к
>прову и забирать почту по поп3.
>Какие правила надо добавить?

${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
Правило вставить между правилами nat если ипользуешь natd


"Forward"
Отправлено ANoTher_ONe , 27-Янв-04 12:09 

>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>Правило вставить между правилами nat если ипользуешь natd

Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова уходят а назад не возвращаются ... по крайней мере так показывает
ipfw -a list
может ещё что-то нада...


"Forward"
Отправлено alk , 27-Янв-04 12:17 
>
>>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>>Правило вставить между правилами nat если ипользуешь natd
>
>Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова
>уходят а назад не возвращаются ... по крайней мере так показывает
>
>ipfw -a list
>может ещё что-то нада...

В логе, что пишет?
Покажи ipfw sh


"Forward"
Отправлено ANoTher_ONe , 27-Янв-04 12:47 

>В логе, что пишет?
>Покажи ipfw sh


00100      0         0 check-state
00150     15       720 fwd 195.64.225.213 ip from 192168.0.13 to any dst-port 110
00200     12       640 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00210      0         0 reject ip from 192.168.0.0/24 to any in via rl0
00300  30868   3531952 allow ip from any to any via lo0
00310 545219 268770767 allow tcp from me to any via rl0 keep-state
00320   1466     88434 allow icmp from any to any
00330 281592  20421743 allow udp from me to any dst-port 53 keep-state
00340      6       266 allow udp from any to me dst-port 53
00350    216     10368 fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
00360  24605   1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via wb0
00390   2311    693433 allow ip from me to any
00400    650     57380 allow tcp from any to me dst-port 80,443,22


"Forward"
Отправлено alk , 27-Янв-04 13:29 
>00390   2311    693433 allow ip from me to any

Мудрено сделал
Покажи где NAT и как?
попробуй вместо
>00390   2311    693433 allow ip from me to any
сделать
00390 allow tcp from any to any established


"Forward"
Отправлено ANoTher_ONe , 27-Янв-04 13:42 
>>00390   2311    693433 allow ip from me to any
>
>Мудрено сделал
>Покажи где NAT и как?

так может что-то типа НАТа добавить?
не подскажешь куда? и как?

>попробуй вместо
>>00390   2311    693433 allow ip from me to any
>сделать
>00390 allow tcp from any to any established



"Forward"
Отправлено alk , 27-Янв-04 13:59 

>так может что-то типа НАТа добавить?
>не подскажешь куда? и как?
Ни хрена не пойму
Ты пакеты nat's в инет?
rl0 -внешний интерфейс ? 195.64.225.x
wb0 - внутренний инт 192,168,0,0
me=192.168.0.0
Так?
<00360  24605   1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
<00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
что это за правила?



"Forward"
Отправлено ANoTher_ONe , 27-Янв-04 14:24 
>
>>так может что-то типа НАТа добавить?
>>не подскажешь куда? и как?
>Ни хрена не пойму
>Ты пакеты nat's в инет?
>rl0 -внешний интерфейс ? 195.64.225.x
>wb0 - внутренний инт 192,168,0,0
>me=192.168.0.0
>Так?

да именно
><00360  24605   1025721 allow ip from 192.168.0.0/24 to me
>dst-port 23,25
><00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
>что это за правила?

ну ладна в первом 25 лишний. но как-то к нему ж подходить нада ... например телнет или ссш...  
в общем без этих правил никто никуда не шастает ...
то есть правило вроде бы заворачивающее на сквид есть, но не работает - как бы до сквида не доходит. вааще если можна давайте расчехлимся вместе ... потому что без некоторых правил вааще никто и никуда....


"Forward"
Отправлено alk , 27-Янв-04 14:56 
Абсолютно рабочий кусок
в данном виде из local все могут ходить куда хотят
из internet open port 53,25

ipfw="/sbin/ipfw -q"

my_net="192.168.0.0/24"
inet=адрес внешнего интерф
${ipfw} -f flush

${ipfw} add allow  all from any to any via lo0
#--Stop private networks RFC.
${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
#--Stop bad icmp ----------------------------------------------
${ipfw} add deny icmp from any to 255.255.255.255 via rl0
${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
хочешь что-нибудь запретить из локала пиши здесь на via wb0

${ipfw} add allow  all from any to any via wb0
#------NAT--------------------------------------------------------
${ipfw} add divert natd ip from ${my_net} to any out via rl0
${ipfw} add divert natd ip from any to ${inet} in via rl0
${ipfw} add allow tcp from any to any established
${ipfw} add allow all  from any to any out xmit rl0
#-----DNS SMTP --------------------------------------------------
${ipfw} add allow udp from any  53,25 to any
#----VPN Microsoft 47 gre-----------------------------------------------
${ipfw} add allow 47 from any to any
#-----ICMP--------------------------------------------------------
разрешить или фильтровать
${ipfw} add deny  log icmp from any to any
${ipfw} add deny  log tcp from any to any


"Forward"
Отправлено ANoTher_ONe , 27-Янв-04 16:31 
>Абсолютно рабочий кусок
>в данном виде из local все могут ходить куда хотят
а если тока через сквид? что значит куда хотят? это как-то мониториться?
>из internet open port 53,25
>
>ipfw="/sbin/ipfw -q"
>
>my_net="192.168.0.0/24"
>inet=адрес внешнего интерф
>${ipfw} -f flush
>
>${ipfw} add allow  all from any to any via lo0
>#--Stop private networks RFC.
>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>#--Stop bad icmp ----------------------------------------------
>${ipfw} add deny icmp from any to 255.255.255.255 via rl0

ну до этого момента всё понятно
>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
это форвард на сквид ?

>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>

>${ipfw} add allow  all from any to any via wb0
этого вааще не понял ? что б все шастали во внешнем мире?


>#------NAT--------------------------------------------------------
>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>
>${ipfw} add divert natd ip from any to ${inet} in via rl0

не понял что и куда натиться? 2ая строчка ?


>
>${ipfw} add allow tcp from any to any established
>${ipfw} add allow all  from any to any out xmit rl0
>
что такое xmit ?


>#-----DNS SMTP --------------------------------------------------
>${ipfw} add allow udp from any  53,25 to any
>#----VPN Microsoft 47 gre-----------------------------------------------
>${ipfw} add allow 47 from any to any
>#-----ICMP--------------------------------------------------------
>разрешить или фильтровать
>${ipfw} add deny  log icmp from any to any
>${ipfw} add deny  log tcp from any to any



"Forward"
Отправлено alk , 27-Янв-04 16:45 
>>Абсолютно рабочий кусок
>>в данном виде из local все могут ходить куда хотят
>а если тока через сквид? что значит куда хотят? это как-то мониториться?
80 пойдет через squid
>>из internet open port 53,25
>>
>>ipfw="/sbin/ipfw -q"
>>
>>my_net="192.168.0.0/24"
>>inet=адрес внешнего интерф
>>${ipfw} -f flush
>>
>>${ipfw} add allow  all from any to any via lo0
>>#--Stop private networks RFC.
>>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>>#--Stop bad icmp ----------------------------------------------
>>${ipfw} add deny icmp from any to 255.255.255.255 via rl0
>
>ну до этого момента всё понятно
>>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
>это форвард на сквид ?
да
>>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>>
>
>>${ipfw} add allow  all from any to any via wb0
>этого вааще не понял ? что б все шастали во внешнем мире?
я так понял что wb0 это внутренний интерф
если нет, пропиши его здесь
>
>
>>#------NAT--------------------------------------------------------
>>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>>
>>${ipfw} add divert natd ip from any to ${inet} in via rl0
>
>не понял что и куда натиться? 2ая строчка ?
rl0 -смотрит в инет
2ая строчка пришедшие с инета пакеты на via rl0 -обратный divert
все рабочее!
>
>>
>>${ipfw} add allow tcp from any to any established
>>${ipfw} add allow all  from any to any out xmit rl0
>>
>что такое xmit ?
исходящий пакет, отправленный rl0 интерфейсом
почитай http://www.sergeyka.h10.ru/fw_io.html
>
>
>>#-----DNS SMTP --------------------------------------------------
>>${ipfw} add allow udp from any  53,25 to any
>>#----VPN Microsoft 47 gre-----------------------------------------------
>>${ipfw} add allow 47 from any to any
>>#-----ICMP--------------------------------------------------------
>>разрешить или фильтровать
>>${ipfw} add deny  log icmp from any to any
>>${ipfw} add deny  log tcp from any to any



"Forward"
Отправлено ANoTher_ONe , 30-Янв-04 18:21 
Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси ...
На Рop3 я никак подключиться к прову не могу ...
как сделать маппинг или редирект порта ?
нужно ли оно в даном случае ???

"Forward"
Отправлено Yura_hn , 31-Янв-04 03:19 
>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???

А как ты вообще себе это представляешь ??? Народ вы, что думать разучились ??? У него же с одной стороны fake ip с другой реальный, через прокси маскарадинг оно конечно будет работать, а без нужно что бы пров прописал роутинг на твою локалку у себя иначе никак (я бы такого не делал на месте прова).


"Forward"
Отправлено ANoTher_ONe , 02-Фев-04 09:15 
>А как ты вообще себе это представляешь ??? Народ вы, что думать
>разучились ??? У него же с одной стороны fake ip с
>другой реальный, через прокси маскарадинг оно конечно будет работать, а без
>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).

Представляю себе это что возможно такое так как на данный момент имею циску из-за которой таким образом выгребаю почту ... на циске что-то натиться... вот меня как бы и интересует возможно ли такое на ФриБСД сделать ... судя по всему можно ...


"Forward"
Отправлено alk , 02-Фев-04 10:50 

>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).

Почему ты бы не стал прописывать сетку?
Объясни если не трудно


"Forward"
Отправлено ANoTher_ONe , 02-Фев-04 12:57 
>
>>нужно что бы пров прописал роутинг на твою локалку у себя
>>иначе никак (я бы такого не делал на месте прова).
>
>Почему ты бы не стал прописывать сетку?
>Объясни если не трудно

при чём тут моя локалка к прову??? прову в этом деле вааще даже знать особо ничё не надо ... прописать прову такое просто не имеет смысла ... так как у него получится что локалки живут в нете с реальными айпишниками - типа абсурд ...  
здесь просто нужно правильная подборка ната и ипфв ... как бы проблему знаю справиться не могу ...  


"Forward"
Отправлено alk , 02-Фев-04 13:11 
>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
это как? 110 идет через что?
на данный момент ipfw sh покажи
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???