Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое правило надо написать что б дать доступ из локальной сети пинговать тазик провайдера? вот как сейчас настроено
ipfw='/sbin/ipfw -q'
ournet='192.168.0.0/16'
uprefix='192.168.0'
oprefix='xxx.xxx.xxx.xxx'
ifout='ppp0'
ifuser='rl0'
${ipfw} flush
${ipfw} add 50 deny ip log from any to any
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 300 allow ip from any to any via lo0
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 410 allow tcp from any ${ournet} to me smtp
${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${
ifout}
${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
#${ipfw} add 520 divert natd ip from ${ournet} to any out via ${ifuser}
${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}
${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}
${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}
${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}
${ipfw} add 1005 allow ip from ${uprefix}.5 to any via ${ifuser}
${ipfw} add 1005 allow ip from any to ${uprefix}.5 via ${ifuser}
natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, инет есть, а пинга всё равно нет!Дело в том что я первый так сказать раз настраиваю фаэрвол, и просто не представляю какого правила там ещё не хватает, и каким образом мне поможет tcpdump тоже не пойму. Может это смешно но правда!
Правило,
${ipfw} add 50 deny ip log from any to any
закрывает ВСЕ.
>Правило,
>${ipfw} add 50 deny ip log from any to any
>закрывает ВСЕ.
я его убирал и без него тоже ничего не получается !
>Правило,
>${ipfw} add 50 deny ip log from any to any
>закрывает ВСЕ.
Я и без него пробовал тот же эффект!
>>Правило,
>>${ipfw} add 50 deny ip log from any to any
>>закрывает ВСЕ.
>
>
>Я и без него пробовал тот же эффект!я бы проверил - не дропаются ли по умолчанию icmp пакеты(rc.conf)
может добавить порт через диверт что бы натд гонял пингу? (наверное бред сморозил)
>>>Правило,
>>>${ipfw} add 50 deny ip log from any to any
>>>закрывает ВСЕ.все правильно написано - при таких правилах фаер вообще наглухо не рабочий - товарищ тока не говорите что у вас такие правила работают...
покажите ваш рабочий ipfw sh - тогда смотреть будем
Да, тут немного переворочено. Во-первых,
${ipfw} add 50 deny ip log from any to any - убрать нафиг.
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 - убрать нафиг
${ipfw} add 320 allow icmp from any to any - разрешает icmp, но!!!!! если у тебя это бегает из-под НАТа, то согласно отсутствующей маршрутизации они будут возвращаться в никуда. Надо еще раз переосмыслить схему сети, маршрутизации и диверта.
>Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое
>правило надо написать что б дать доступ из локальной сети пинговать
>тазик провайдера? вот как сейчас настроено
>ipfw='/sbin/ipfw -q'
> ournet='192.168.0.0/16'
> uprefix='192.168.0'
> oprefix='xxx.xxx.xxx.xxx'
> ifout='ppp0'
> ifuser='rl0'
> ${ipfw} flush
> ${ipfw} add 50 deny ip log from
>any to any
> ${ipfw} add 100 check-state
> ${ipfw} add 200 deny icmp from any to
>any in icmptype 5,9,13,14,15,16,17
> ${ipfw} add 300 allow ip from any to
>any via lo0
> ${ipfw} add 310 allow tcp from me to
>any keep-state via ${ifout}
> ${ipfw} add 320 allow icmp from any to
>any
> ${ipfw} add 330 allow udp from me to
>any domain keep-state
> ${ipfw} add 340 allow udp from any to
>me domain
> ${ipfw} add 350 allow ip from me to
>any
> ${ipfw} add 400 allow tcp from any to
>me http,https,ssh
> ${ipfw} add 410 allow tcp from any ${ournet}
>to me smtp
> ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet}
>to any http out via ${
>ifout}
> ${ipfw} add 510 divert natd ip from ${ournet}
>to any out via ${ifout}
> #${ipfw} add 520 divert natd ip from ${ournet} to
>any out via ${ifuser}
>
> ${ipfw} add 1002 allow ip from ${uprefix}.2 to
>any via ${ifuser}
> ${ipfw} add 1002 allow ip from any to
>${uprefix}.2 via ${ifuser}
> ${ipfw} add 1003 allow ip from ${uprefix}.3 to
>any via ${ifuser}
> ${ipfw} add 1003 allow ip from any to
>${uprefix}.3 via ${ifuser}
> ${ipfw} add 1004 allow ip from ${uprefix}.4 to
>any via ${ifuser}
> ${ipfw} add 1004 allow ip from any to
>${uprefix}.4 via ${ifuser}
> ${ipfw} add 1005 allow ip from ${uprefix}.5 to
>any via ${ifuser}
> ${ipfw} add 1005 allow ip from any to
>${uprefix}.5 via ${ifuser}
>natd - запускается пучком, что не так подскажите, уже столько правил перепробовал,
>инет есть, а пинга всё равно нет!
>
>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>просто не представляю какого правила там ещё не хватает, и каким
>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>правда!###########################################################################
# ICMP
# Разрешить все ICMP пакеты на внутренних интерфейсах
#${fwcmd} add pass icmp from any to any via ${iif1}
#${fwcmd} add pass icmp from any to any via ${iif2}# (3) Dest Unrechable, Service Unavailable
# Входящие и исходящие данные, передаваемые при определении
# размера; сообщения о том, что узел или сервер недоступны;
# отклик traceroute
# (4) Source Quench
# Входящие и исходящие запросы с требованием замедления передачи
# (11) Time Exceeded
# Входящие и исходящие сообщения о тайм-ауте, а также
# TTL-сообщения traceroute
# (12) Parameter Problem
# Входящие и исходящие сообщения об ошибках
# Разрешить передачу и прием пакетов Ping по любым адресам${fwcmd} add pass icmp from any to any icmptypes 0,8,3,4,11,12 via ${oif}
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any fragС уважением Алексей Леончик
>>Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое
>>правило надо написать что б дать доступ из локальной сети пинговать
>>тазик провайдера? вот как сейчас настроено
>>ipfw='/sbin/ipfw -q'
>> ournet='192.168.0.0/16'
>> uprefix='192.168.0'
>> oprefix='xxx.xxx.xxx.xxx'
>> ifout='ppp0'
>> ifuser='rl0'
>> ${ipfw} flush
>> ${ipfw} add 50 deny ip log from
>>any to any
>> ${ipfw} add 100 check-state
>> ${ipfw} add 200 deny icmp from any to
>>any in icmptype 5,9,13,14,15,16,17
>> ${ipfw} add 300 allow ip from any to
>>any via lo0
>> ${ipfw} add 310 allow tcp from me to
>>any keep-state via ${ifout}
>> ${ipfw} add 320 allow icmp from any to
>>any
>> ${ipfw} add 330 allow udp from me to
>>any domain keep-state
>> ${ipfw} add 340 allow udp from any to
>>me domain
>> ${ipfw} add 350 allow ip from me to
>>any
>> ${ipfw} add 400 allow tcp from any to
>>me http,https,ssh
>> ${ipfw} add 410 allow tcp from any ${ournet}
>>to me smtp
>> ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet}
>>to any http out via ${
>>ifout}
>> ${ipfw} add 510 divert natd ip from ${ournet}
>>to any out via ${ifout}
>> #${ipfw} add 520 divert natd ip from ${ournet} to
>>any out via ${ifuser}
>>
>> ${ipfw} add 1002 allow ip from ${uprefix}.2 to
>>any via ${ifuser}
>> ${ipfw} add 1002 allow ip from any to
>>${uprefix}.2 via ${ifuser}
>> ${ipfw} add 1003 allow ip from ${uprefix}.3 to
>>any via ${ifuser}
>> ${ipfw} add 1003 allow ip from any to
>>${uprefix}.3 via ${ifuser}
>> ${ipfw} add 1004 allow ip from ${uprefix}.4 to
>>any via ${ifuser}
>> ${ipfw} add 1004 allow ip from any to
>>${uprefix}.4 via ${ifuser}
>> ${ipfw} add 1005 allow ip from ${uprefix}.5 to
>>any via ${ifuser}
>> ${ipfw} add 1005 allow ip from any to
>>${uprefix}.5 via ${ifuser}
>>natd - запускается пучком, что не так подскажите, уже столько правил перепробовал,
>>инет есть, а пинга всё равно нет!
>>
>>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>>просто не представляю какого правила там ещё не хватает, и каким
>>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>>правда!
>
>###########################################################################
># ICMP
># Разрешить
>все ICMP пакеты на внутренних интерфейсах
>#${fwcmd} add pass icmp from any to any via ${iif1}
>#${fwcmd} add pass icmp from any to any via ${iif2}
>
># (3) Dest Unrechable, Service Unavailable
>
># Входящие
>и исходящие данные, передаваемые при определении
># размера;
>сообщения о том, что узел или сервер недоступны;
># отклик
>traceroute
># (4) Source Quench
># Входящие
>и исходящие запросы с требованием замедления передачи
># (11) Time Exceeded
># Входящие
>и исходящие сообщения о тайм-ауте, а также
># TTL-сообщения
>traceroute
># (12) Parameter Problem
># Входящие
>и исходящие сообщения об ошибках
># Разрешить передачу и прием пакетов Ping по любым адресам
>
>
>${fwcmd} add pass icmp from any to any icmptypes 0,8,3,4,11,12 via ${oif}
>
>
># Allow IP fragments to pass through
>${fwcmd} add pass all from any to any frag
>
>С уважением Алексей Леончик
Не работает, tcpdump вот что пишет я не знаю что это такое
11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
>Не работает, tcpdump вот что пишет я не знаю что это такое
>
>11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
>11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
>11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo requestПравила для прохождения icmp-пакетов нужно расположить после nat'овых.
>>Не работает, tcpdump вот что пишет я не знаю что это такое
>>
>>11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
>>11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
>>11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
>
>Правила для прохождения icmp-пакетов нужно расположить после nat'овых.
вот поставил что получаю
192.168.0.10 > ns.pk.ua: icmp: echo request
ns.pk.ua > office.pk.ua: icmp: echo reply
ns.pk.ua > office.pk.ua: icmp: echo reply
office.pk.ua > ns.pk.ua: icmp: echo request
а пинга не видно