Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к прову и забирать почту по поп3.
Какие правила надо добавить?
>Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить
>одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к
>прову и забирать почту по поп3.
>Какие правила надо добавить?${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
Правило вставить между правилами nat если ипользуешь natd
>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>Правило вставить между правилами nat если ипользуешь natdДа есть добавил такое. но впечатленние создаётся что пакеты в сторону прова уходят а назад не возвращаются ... по крайней мере так показывает
ipfw -a list
может ещё что-то нада...
>
>>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>>Правило вставить между правилами nat если ипользуешь natd
>
>Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова
>уходят а назад не возвращаются ... по крайней мере так показывает
>
>ipfw -a list
>может ещё что-то нада...В логе, что пишет?
Покажи ipfw sh
>В логе, что пишет?
>Покажи ipfw sh
00100 0 0 check-state
00150 15 720 fwd 195.64.225.213 ip from 192168.0.13 to any dst-port 110
00200 12 640 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00210 0 0 reject ip from 192.168.0.0/24 to any in via rl0
00300 30868 3531952 allow ip from any to any via lo0
00310 545219 268770767 allow tcp from me to any via rl0 keep-state
00320 1466 88434 allow icmp from any to any
00330 281592 20421743 allow udp from me to any dst-port 53 keep-state
00340 6 266 allow udp from any to me dst-port 53
00350 216 10368 fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
00360 24605 1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via wb0
00390 2311 693433 allow ip from me to any
00400 650 57380 allow tcp from any to me dst-port 80,443,22
>00390 2311 693433 allow ip from me to anyМудрено сделал
Покажи где NAT и как?
попробуй вместо
>00390 2311 693433 allow ip from me to any
сделать
00390 allow tcp from any to any established
>>00390 2311 693433 allow ip from me to any
>
>Мудрено сделал
>Покажи где NAT и как?так может что-то типа НАТа добавить?
не подскажешь куда? и как?>попробуй вместо
>>00390 2311 693433 allow ip from me to any
>сделать
>00390 allow tcp from any to any established
>так может что-то типа НАТа добавить?
>не подскажешь куда? и как?
Ни хрена не пойму
Ты пакеты nat's в инет?
rl0 -внешний интерфейс ? 195.64.225.x
wb0 - внутренний инт 192,168,0,0
me=192.168.0.0
Так?
<00360 24605 1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
<00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
что это за правила?
>
>>так может что-то типа НАТа добавить?
>>не подскажешь куда? и как?
>Ни хрена не пойму
>Ты пакеты nat's в инет?
>rl0 -внешний интерфейс ? 195.64.225.x
>wb0 - внутренний инт 192,168,0,0
>me=192.168.0.0
>Так?да именно
><00360 24605 1025721 allow ip from 192.168.0.0/24 to me
>dst-port 23,25
><00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
>что это за правила?ну ладна в первом 25 лишний. но как-то к нему ж подходить нада ... например телнет или ссш...
в общем без этих правил никто никуда не шастает ...
то есть правило вроде бы заворачивающее на сквид есть, но не работает - как бы до сквида не доходит. вааще если можна давайте расчехлимся вместе ... потому что без некоторых правил вааще никто и никуда....
Абсолютно рабочий кусок
в данном виде из local все могут ходить куда хотят
из internet open port 53,25ipfw="/sbin/ipfw -q"
my_net="192.168.0.0/24"
inet=адрес внешнего интерф
${ipfw} -f flush${ipfw} add allow all from any to any via lo0
#--Stop private networks RFC.
${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
#--Stop bad icmp ----------------------------------------------
${ipfw} add deny icmp from any to 255.255.255.255 via rl0
${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
хочешь что-нибудь запретить из локала пиши здесь на via wb0${ipfw} add allow all from any to any via wb0
#------NAT--------------------------------------------------------
${ipfw} add divert natd ip from ${my_net} to any out via rl0
${ipfw} add divert natd ip from any to ${inet} in via rl0
${ipfw} add allow tcp from any to any established
${ipfw} add allow all from any to any out xmit rl0
#-----DNS SMTP --------------------------------------------------
${ipfw} add allow udp from any 53,25 to any
#----VPN Microsoft 47 gre-----------------------------------------------
${ipfw} add allow 47 from any to any
#-----ICMP--------------------------------------------------------
разрешить или фильтровать
${ipfw} add deny log icmp from any to any
${ipfw} add deny log tcp from any to any
>Абсолютно рабочий кусок
>в данном виде из local все могут ходить куда хотят
а если тока через сквид? что значит куда хотят? это как-то мониториться?
>из internet open port 53,25
>
>ipfw="/sbin/ipfw -q"
>
>my_net="192.168.0.0/24"
>inet=адрес внешнего интерф
>${ipfw} -f flush
>
>${ipfw} add allow all from any to any via lo0
>#--Stop private networks RFC.
>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>#--Stop bad icmp ----------------------------------------------
>${ipfw} add deny icmp from any to 255.255.255.255 via rl0ну до этого момента всё понятно
>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
это форвард на сквид ?>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>>${ipfw} add allow all from any to any via wb0
этого вааще не понял ? что б все шастали во внешнем мире?
>#------NAT--------------------------------------------------------
>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>
>${ipfw} add divert natd ip from any to ${inet} in via rl0не понял что и куда натиться? 2ая строчка ?
>
>${ipfw} add allow tcp from any to any established
>${ipfw} add allow all from any to any out xmit rl0
>
что такое xmit ?
>#-----DNS SMTP --------------------------------------------------
>${ipfw} add allow udp from any 53,25 to any
>#----VPN Microsoft 47 gre-----------------------------------------------
>${ipfw} add allow 47 from any to any
>#-----ICMP--------------------------------------------------------
>разрешить или фильтровать
>${ipfw} add deny log icmp from any to any
>${ipfw} add deny log tcp from any to any
>>Абсолютно рабочий кусок
>>в данном виде из local все могут ходить куда хотят
>а если тока через сквид? что значит куда хотят? это как-то мониториться?
80 пойдет через squid
>>из internet open port 53,25
>>
>>ipfw="/sbin/ipfw -q"
>>
>>my_net="192.168.0.0/24"
>>inet=адрес внешнего интерф
>>${ipfw} -f flush
>>
>>${ipfw} add allow all from any to any via lo0
>>#--Stop private networks RFC.
>>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>>#--Stop bad icmp ----------------------------------------------
>>${ipfw} add deny icmp from any to 255.255.255.255 via rl0
>
>ну до этого момента всё понятно
>>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
>это форвард на сквид ?
да
>>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>>
>
>>${ipfw} add allow all from any to any via wb0
>этого вааще не понял ? что б все шастали во внешнем мире?
я так понял что wb0 это внутренний интерф
если нет, пропиши его здесь
>
>
>>#------NAT--------------------------------------------------------
>>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>>
>>${ipfw} add divert natd ip from any to ${inet} in via rl0
>
>не понял что и куда натиться? 2ая строчка ?
rl0 -смотрит в инет
2ая строчка пришедшие с инета пакеты на via rl0 -обратный divert
все рабочее!
>
>>
>>${ipfw} add allow tcp from any to any established
>>${ipfw} add allow all from any to any out xmit rl0
>>
>что такое xmit ?
исходящий пакет, отправленный rl0 интерфейсом
почитай http://www.sergeyka.h10.ru/fw_io.html
>
>
>>#-----DNS SMTP --------------------------------------------------
>>${ipfw} add allow udp from any 53,25 to any
>>#----VPN Microsoft 47 gre-----------------------------------------------
>>${ipfw} add allow 47 from any to any
>>#-----ICMP--------------------------------------------------------
>>разрешить или фильтровать
>>${ipfw} add deny log icmp from any to any
>>${ipfw} add deny log tcp from any to any
Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси ...
На Рop3 я никак подключиться к прову не могу ...
как сделать маппинг или редирект порта ?
нужно ли оно в даном случае ???
>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???А как ты вообще себе это представляешь ??? Народ вы, что думать разучились ??? У него же с одной стороны fake ip с другой реальный, через прокси маскарадинг оно конечно будет работать, а без нужно что бы пров прописал роутинг на твою локалку у себя иначе никак (я бы такого не делал на месте прова).
>А как ты вообще себе это представляешь ??? Народ вы, что думать
>разучились ??? У него же с одной стороны fake ip с
>другой реальный, через прокси маскарадинг оно конечно будет работать, а без
>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).Представляю себе это что возможно такое так как на данный момент имею циску из-за которой таким образом выгребаю почту ... на циске что-то натиться... вот меня как бы и интересует возможно ли такое на ФриБСД сделать ... судя по всему можно ...
>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).Почему ты бы не стал прописывать сетку?
Объясни если не трудно
>
>>нужно что бы пров прописал роутинг на твою локалку у себя
>>иначе никак (я бы такого не делал на месте прова).
>
>Почему ты бы не стал прописывать сетку?
>Объясни если не труднопри чём тут моя локалка к прову??? прову в этом деле вааще даже знать особо ничё не надо ... прописать прову такое просто не имеет смысла ... так как у него получится что локалки живут в нете с реальными айпишниками - типа абсурд ...
здесь просто нужно правильная подборка ната и ипфв ... как бы проблему знаю справиться не могу ...
>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
это как? 110 идет через что?
на данный момент ipfw sh покажи
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???