не могу понять где меня фря кидает
нужно разрешить использование rdp для удаленных филиалов...
моя сеть: 192.168.100.0/24 (local_net_ip)
удаленная: 192.168.103.0/24 (r_2_ip)
интерфейс: fxp0 (local_int)в файрволе:
${fwcmd} add 11120 allow ip from ${r_2_ip} rdp to ${local_net_ip} via ${local_int} in
${fwcmd} add 11130 allow ip from ${local_net_ip} to ${r_2_ip} ${rdp} via ${local_int} outвыше этих правил нет ни одного deny
и в самом конце стоит:
${fwcmd} add 61200 deny log ip from any to any via ${local_int}
по ipfw list все нормально.
правила присутсвуют
по ipfw show на 11120 и 11130 по нулям (((
и при попытке законнектится в логах
Dec 15 15:15:13 gw kernel: ipfw: 61200 Deny TCP 192.168.100.53:1401 192.168.103.2:3389 in via fxp0то есть получается оно не отрабатывает правила 11120 и 11130
из-за чего может быть такая фигня???
>моя сеть: 192.168.100.0/24 (local_net_ip)
>удаленная: 192.168.103.0/24 (r_2_ip)
>интерфейс: fxp0 (local_int)>в файрволе:
>${fwcmd} add 11120 allow ip from ${r_2_ip} rdp to ${local_net_ip} via ${local_int}
>in
>${fwcmd} add 11130 allow ip from ${local_net_ip} to ${r_2_ip} ${rdp} via ${local_int}
>out
>
>выше этих правил нет ни одного deny
>
>и в самом конце стоит:
>
>${fwcmd} add 61200 deny log ip from any to any via ${local_int}
>
>
>по ipfw list все нормально.
>правила присутсвуют
>по ipfw show на 11120 и 11130 по нулям (((
>и при попытке законнектится в логах
>Dec 15 15:15:13 gw kernel: ipfw: 61200 Deny TCP 192.168.100.53:1401 192.168.103.2:3389 in
>via fxp0
>
>то есть получается оно не отрабатывает правила 11120 и 11130
>
>из-за чего может быть такая фигня???
А так:
${fwcmd} add 11120 allow ip from ${r_2_ip} to ${local_net_ip} rdp via ${local_int}
${fwcmd} add 11130 allow ip from ${local_net_ip} rdp to ${r_2_ip} via ${local_int} outИ последнее правило лучше заменить на такие: (по моему)
${fwcmd} add 61190 allow ip from any to any established via ${local_int}
${fwcmd} add 61200 deny log ip from any to any setup via ${local_int}
>А так:
>${fwcmd} add 11120 allow ip from ${r_2_ip} to ${local_net_ip} rdp via ${local_int}
>
>${fwcmd} add 11130 allow ip from ${local_net_ip} rdp to ${r_2_ip} via ${local_int}
>out
>
>И последнее правило лучше заменить на такие: (по моему)
>${fwcmd} add 61190 allow ip from any to any established via ${local_int}
>
>${fwcmd} add 61200 deny log ip from any to any setup via
>${local_int}
Наврал, не ip а tcp., везде
Вдя остальных протоколов можно deny ip написать.
ку
вопрос снят
действительно попутал в направлениях in и out
бошка после обеда совсем не варит ((