URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44257
[ Назад ]

Исходное сообщение
"ipfw + FreeBSD 4.9 проблемы"
Отправлено Zhelezniy_Felix , 21-Май-04 18:56

Почему может не читать правила из файла?
в 5.2 так-же все делал и работало....
в ядро вкомпилино
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=10
IPFILTER
IPDIVERT
IPFORWARD
IPFIREWALL_DEFAULT_TO_ACCEPT
непашет зараза - выдает стандартное правило что все разрешено
и что вы можете сказать про эту статью http://www.troubles.ru/Doc/BSD/fw_natd.html

З.Ы. И еще маленький вопросик - tv-tuner реально поднять?
добавлял в ядро
device  bktr
device  iicbus
device  iicbb
device  smbus
xawtv говорит что device bktr0 сконфигурирован неправильно - в /dev такого
девайся нету... создание вручную непомогло
(у меня не стандартный tv-tuner - он совмещен с видюхой - были такие платы от ati)

Содержание

ipfw + FreeBSD 4.9 проблемы,dust, 19:07 , 21-Май-04
- ipfw + FreeBSD 4.9 проблемы,Zhelezniy_Felix, 20:22 , 23-Май-04
  - ipfw + FreeBSD 4.9 проблемы,boykov, 23:13 , 23-Май-04
    - ipfw + FreeBSD 4.9 проблемы,Zhelezniy_Felix, 22:09 , 24-Май-04

Сообщения в этом обсуждении

"ipfw + FreeBSD 4.9 проблемы"
Отправлено dust , 21-Май-04 19:07

>Почему может не читать правила из файла?
из какого файла ?
если из стандартного системного rc.firewall, то нужно в rc.conf подкрутить
помотри в /etc/defaults/rc.conf - и перенеси от туда в /etc/rc.conf необходимые строки
>IPFIREWALL_DEFAULT_TO_ACCEPT
>непашет зараза - выдает стандартное правило что все разрешено
Это правило и означает, что все по умолчанию открыто,
ака "ipfw add all pass from any to any"
>и что вы можете сказать про эту статью >http://www.troubles.ru/Doc/BSD/fw_natd.html
тут написано все очем я сказал выше...если есть проблемы то опиши конкретно

"ipfw + FreeBSD 4.9 проблемы"
Отправлено Zhelezniy_Felix , 23-Май-04 20:22

в ядро вкомпилино
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=10
IPFILTER
IPDIVERT
IPFORWARD
вот скрипт
xxx.xxx.xxx.xxx - это я

#!/bin/sh
ipfw=/sbin/ipfw
ifout='ed0' выход в инет
ifuser='rl0' внутренней интерфейс
${ipfw} flush
${ipfw} add 100 allow icmp from any to any
#${ipfw} add 200 allow icmp from any to any via ${ifuser}
${ipfw} add 300 allow all from any to any via lo0
${ipfw} add 400 allow all from xxx.xxx.xxx.xxx  to any via ${ifout}
${ipfw} add 450 allow all from xxx.xxx.xxx.xxx  to any via ${ifuser}
${ipfw} add 500 allow tcp from (дружетвенный ip) to xxx.xxx.xxx.xxx  21 via ${ifout}
${ipfw} add 600 allow tcp from (дружетвенный ip)to xxx.xxx.xxx.xxx  20  via ${ifout}
${ipfw} add 650 allow tcp from xxx.xxx.xxx.xxx  to xxx.xxx.xxx.xxx  21 via lo0
${ipfw} add 700 allow udp from 195.161.146.1 53 to xxx.xxx.xxx.xxx   via ${ifout}
${ipfw} add 800 allow udp from 80.82.43.250 53 to xxx.xxx.xxx.xxx   via ${ifout}
${ipfw} add 900 allow udp from 195.161.146.1  to xxx.xxx.xxx.xxx  53 via ${ifout}
${ipfw} add 1000 allow udp from 80.82.43.250  to xxx.xxx.xxx.xxx   53 via ${ifout}
${ipfw} add 1100 allow tcp from any 80 to xxx.xxx.xxx.xxx   via ${ifout}
${ipfw} add 1200 allow tcp from any  to xxx.xxx.xxx.xxx  80 via ${ifout}
${ipfw} add 1300 allow udp from any 80 to xxx.xxx.xxx.xxx  via ${ifout}
${ipfw} add 1400 allow udp from any to xxx.xxx.xxx.xxx  80 via ${ifout}
${ipfw} add 1500 allow tcp from any 5190  to xxx.xxx.xxx.xxx  via ${ifout}
${ipfw} add 1600 allow tcp from any  to xxx.xxx.xxx.xxx  5190 via ${ifout}
${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via ${ifout}
${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx   via ${ifout}
${ipfw} add 3300 allow tcp from 192.168.0.2 to 192.168.0.1 21 via ${ifuser}
вопрос такой - самбу как пустит во внутреннею сеть
пинги идут а в сети невидно..
из инета можно зайти на ftp а вот из нутри неможет войти
какие только я не писал разрешения...
>${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via ${ifout}
>${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx   via >${ifout}
тоже непашет

а так в инет ходит по аське базарить можноъ
объясните что нетак
Заранее СПАСИБО!!!

"ipfw + FreeBSD 4.9 проблемы"
Отправлено boykov , 23-Май-04 23:13

То есть надо открыть самбу сервера для внутренней сети. Тогда
>#!/bin/sh
>ipfw=/sbin/ipfw
>ifout='ed0' выход в инет
>ifuser='rl0' внутренней интерфейс
>${ipfw} flush
>${ipfw} add 100 allow icmp from any to any
>#${ipfw} add 200 allow icmp from any to any via ${ifuser}
>${ipfw} add 300 allow all from any to any via lo0
>${ipfw} add 400 allow all from xxx.xxx.xxx.xxx  to any via ${ifout}
>
>${ipfw} add 450 allow all from xxx.xxx.xxx.xxx  to any via ${ifuser}
# imho вот тут надо пустить пакеты к серверу
${ipfw} add 455 allow all from any to xxx.xxx.xxx.xxx via ${ifuser}
# + -- как уже сказали default to accept -- лучше убрать, если у вас не слишком нагруженный сервер.
>
>${ipfw} add 500 allow tcp from (дружетвенный ip) to xxx.xxx.xxx.xxx  21
>via ${ifout}
>${ipfw} add 600 allow tcp from (дружетвенный ip)to xxx.xxx.xxx.xxx  20
>via ${ifout}
>${ipfw} add 650 allow tcp from xxx.xxx.xxx.xxx  to xxx.xxx.xxx.xxx  21
>via lo0
>${ipfw} add 700 allow udp from 195.161.146.1 53 to xxx.xxx.xxx.xxx
>via ${ifout}
>${ipfw} add 800 allow udp from 80.82.43.250 53 to xxx.xxx.xxx.xxx
>via ${ifout}
>${ipfw} add 900 allow udp from 195.161.146.1  to xxx.xxx.xxx.xxx  53
>via ${ifout}
>${ipfw} add 1000 allow udp from 80.82.43.250  to xxx.xxx.xxx.xxx
>53 via ${ifout}
>${ipfw} add 1100 allow tcp from any 80 to xxx.xxx.xxx.xxx
>via ${ifout}
>${ipfw} add 1200 allow tcp from any  to xxx.xxx.xxx.xxx  80
>via ${ifout}
>${ipfw} add 1300 allow udp from any 80 to xxx.xxx.xxx.xxx  via
>${ifout}
>${ipfw} add 1400 allow udp from any to xxx.xxx.xxx.xxx  80 via
>${ifout}
>${ipfw} add 1500 allow tcp from any 5190  to xxx.xxx.xxx.xxx
>via ${ifout}
>${ipfw} add 1600 allow tcp from any  to xxx.xxx.xxx.xxx  5190
>via ${ifout}
>${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via
>${ifout}
>${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx
>via ${ifout}
>${ipfw} add 3300 allow tcp from 192.168.0.2 to 192.168.0.1 21 via ${ifuser}
>
>
>вопрос такой - самбу как пустит во внутреннею сеть
>пинги идут а в сети невидно..
>из инета можно зайти на ftp а вот из нутри неможет войти
>
>какие только я не писал разрешения...
>>${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via ${ifout}
>>${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx   via >${ifout}
>тоже непашет
>
>
>а так в инет ходит по аське базарить можноъ
>
>объясните что нетак
>
>Заранее СПАСИБО!!!

"ipfw + FreeBSD 4.9 проблемы"
Отправлено Zhelezniy_Felix , 24-Май-04 22:09

>То есть надо открыть самбу сервера для внутренней сети. Тогда
>
>>#!/bin/sh
>>ipfw=/sbin/ipfw
>>ifout='ed0' выход в инет
>>ifuser='rl0' внутренней интерфейс
>>${ipfw} flush
>>${ipfw} add 100 allow icmp from any to any
>>#${ipfw} add 200 allow icmp from any to any via ${ifuser}
>>${ipfw} add 300 allow all from any to any via lo0
>>${ipfw} add 400 allow all from xxx.xxx.xxx.xxx  to any via ${ifout}
>>
>>${ipfw} add 450 allow all from xxx.xxx.xxx.xxx  to any via ${ifuser}
># imho вот тут надо пустить пакеты к серверу
>${ipfw} add 455 allow all from any to xxx.xxx.xxx.xxx via ${ifuser}
># + -- как уже сказали default to accept -- лучше убрать,
>если у вас не слишком нагруженный сервер.
>>
>>${ipfw} add 500 allow tcp from (дружетвенный ip) to xxx.xxx.xxx.xxx  21
>>via ${ifout}
>>${ipfw} add 600 allow tcp from (дружетвенный ip)to xxx.xxx.xxx.xxx  20
>>via ${ifout}
>>${ipfw} add 650 allow tcp from xxx.xxx.xxx.xxx  to xxx.xxx.xxx.xxx  21
>>via lo0
>>${ipfw} add 700 allow udp from 195.161.146.1 53 to xxx.xxx.xxx.xxx
>>via ${ifout}
>>${ipfw} add 800 allow udp from 80.82.43.250 53 to xxx.xxx.xxx.xxx
>>via ${ifout}
>>${ipfw} add 900 allow udp from 195.161.146.1  to xxx.xxx.xxx.xxx  53
>>via ${ifout}
>>${ipfw} add 1000 allow udp from 80.82.43.250  to xxx.xxx.xxx.xxx
>>53 via ${ifout}
>>${ipfw} add 1100 allow tcp from any 80 to xxx.xxx.xxx.xxx
>>via ${ifout}
>>${ipfw} add 1200 allow tcp from any  to xxx.xxx.xxx.xxx  80
>>via ${ifout}
>>${ipfw} add 1300 allow udp from any 80 to xxx.xxx.xxx.xxx  via
>>${ifout}
>>${ipfw} add 1400 allow udp from any to xxx.xxx.xxx.xxx  80 via
>>${ifout}
>>${ipfw} add 1500 allow tcp from any 5190  to xxx.xxx.xxx.xxx
>>via ${ifout}
>>${ipfw} add 1600 allow tcp from any  to xxx.xxx.xxx.xxx  5190
>>via ${ifout}
>>${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via
>>${ifout}
>>${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx
>>via ${ifout}
>>${ipfw} add 3300 allow tcp from 192.168.0.2 to 192.168.0.1 21 via ${ifuser}
>>
>>
>>вопрос такой - самбу как пустит во внутреннею сеть
>>пинги идут а в сети невидно..
>>из инета можно зайти на ftp а вот из нутри неможет войти
>>
>>какие только я не писал разрешения...
>>>${ipfw} add 3100 divert natd all from 192.168.0.2 to any  via ${ifout}
>>>${ipfw} add 3200 divert natd all from any to xxx.xxx.xxx.xxx   via >${ifout}
>>тоже непашет
>>
>>
>>а так в инет ходит по аське базарить можноъ
>>
>>объясните что нетак
>>
>>Заранее СПАСИБО!!!

вставлял я строку ${ipfw} allow all from any to 192.168.0.1 via ${ifuser}
нехера не помогло... самбу не видит и к фтп подключится не может... также я указывал на порты - тоже ноль реакции
Когда ставлю фаирвол в состояние OPEN все работает.... непонемаю что нетак