URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 42373
[ Назад ]
Исходное сообщение
"Помогите, плз, разобраться с правилами ipfw!"
Отправлено AMG , 31-Мрт-04 17:49 
Привет всем!

Есть сервер Freebsd 4.8 p13+ Squid+ Sendmail итд.
в принципе, все работает через сам сквид (icq, www). Но ,например, нужно, чтобы юзеры могли забирать почту с внеш. POP3 серверов, или еще какой-нибудь сервис добавить в обход сквида. НАТ я поднял, а вот  с правилами какая-то проблема...
Вот правила:

00080     18       792 deny tcp from any to me 69,135,4444
00080      4       176 deny tcp from any to 192.168.0.0/16 69,135,4444
00080      0         0 deny tcp from me to any 69,135,4444
00080      0         0 deny tcp from 192.168.0.0/16 to any 69,135,4444
00100      0         0 check-state
00200   4074    395427 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
00210     71      1988 unreach host log logamount 20 ip from 192.168.0.0/16 to any in recv dc0
00225    809     38928 divert 8668 ip from 192.168.0.0/16 to any out xmit dc0
00226   5365    902452 divert 8668 ip from any to me in recv dc0
00300 615844 188259434 allow ip from any to any via lo0
00301      0         0 unreach host log logamount 20 ip from any to 127.0.0.0/8
00302      0         0 unreach host log logamount 20 ip from 127.0.0.0/8 to any
00310 491343 188668279 allow tcp from me to any keep-state via dc0
00320    328     24320 allow icmp from any to any
00330  78591   8765351 allow udp from me to any 53 keep-state
00340    129      8431 allow udp from 192.168.0.0/16 to me 53 via xl0
00350 212879 168736160 allow ip from me to any
00410   1419   1650281 allow tcp from any to me 25
00420  20672    853403 allow tcp from 192.168.0.0/16 to me 110 via xl0
00425      9       484 allow tcp from any 20,21 to me
00430 144123  17827676 allow tcp from 192.168.0.0/16 to me 3128 via xl0
00440    804     38972 allow tcp from 192.168.0.0/16 to any 80 via xl0
00540  14316   2062678 deny log logamount 20 ip from any to any
65535      0         0 deny ip from any to any

xl0- смотрит внутрь, dc0-внеш.

например, добавляю правила для почты -
227 - allow tcp from 192.168.0.0/16 to any 110  
228 - allow tcp from any 110 to 192.168.0.0/16
и не работает!

Пробовал по разному -

ipfw add allow tcp from 192.168.0.0/16 to any 110 in recv xl0
ipfw add allow tcp from any 110 to 192.168.0.0/16 out xmit xl0  

Все равно почему-то не получается!
если добавить - 227 allow ip from any to any, то все есс-но работает!

Подскажите, плз, что у меня не так?

Спасибо!


Содержание
Сообщения в этом обсуждении
"Помогите, плз, разобраться с правилами ipfw!"
Отправлено lubeg , 01-Апр-04 06:00 
>например, добавляю правила для почты -
>227 - allow tcp from 192.168.0.0/16 to any 110
>228 - allow tcp from any 110 to 192.168.0.0/16
>и не работает!

а где правила вида:
allow tcp from any 110 to me
allow tcp from me to any 110
?

"Помогите, плз, разобраться с правилами ipfw!"
Отправлено AMG , 01-Апр-04 13:50 
>>например, добавляю правила для почты -
>>227 - allow tcp from 192.168.0.0/16 to any 110
>>228 - allow tcp from any 110 to 192.168.0.0/16
>>и не работает!
>
>а где правила вида:
>allow tcp from any 110 to me
>allow tcp from me to any 110
>?


спасибо, заработало!

но правда, я так и не понял, почему надо разрешать эти правила.

Gateway_enable в /etc/rc.conf у меня включен, он по идее( по моей идее=))  и так должен пропускать разрешенные мною пакеты из внеш.сети  во внутреннюю.


"Помогите, плз, разобраться с правилами ipfw!"
Отправлено vitaliy , 01-Апр-04 14:55 
>>а где правила вида:
>>allow tcp from any 110 to me
>>allow tcp from me to any 110
>>?
>
>
>спасибо, заработало!
>
>но правда, я так и не понял, почему надо разрешать эти правила.

Потому что у тебя NAT
me:2222->any:110, me:2222<-any:110 - вот про это забыл
Я делаю так:
pass all from any to me established