Ситуация такая: есть сервер FreeBSD 5.21. На нем стои Squid, SandMail, SquidGuard, DNS (forwarding)
Вот пример /etc/rc.conf и rc.firewallifconfig_ed0="inet 192.168.0.200 netmask 255.255.255.0"
inetd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
network_interfaces="auto"
syslogd_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
firewall_enable="YES"
firewall_script="/usr/local/billing/rc.firewall"
firewall_quiet="YES"
natd_enable="YES"
natd_intreface="ed1"
natd_flags="-m"
firewall_script="/usr/local/billing/rc.firewall"
firewall_quiet="YES"
natd_enable="YES"
natd_intreface="ed1"
natd_flags="-m"
moused_enable="NO"
moused_type="NO"
sendmail_enable="YES"
sendmail_flags="-bd -q30m"
usbd_enable="NO"
pccard_ifconfig="NO"
pccard_mem="NO"
ifconfig_ed1="inet 195.195.195.102 netmask 255.255.255.252"
gateway_enable="YES"
defaultrouter="195.195.195.101"
hostname="mail.ddd.com.ua"
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind"#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.1/24'
uprefix='192.168.0'
ifout='ed1'
ifuser='ed0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from 192.168.0.0/24 to me http,https,ssh,pop3
${ipfw} add 410 allow tcp from not ${ournet} to me smtp
${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${ifout}
${ipfw} add 510 divert natd all from ${ournet} to any xmit ed1
${ipfw} add 511 divert natd all from any to ${ournet} recv ed1
${ipfw} add 700 pass tcp from any to any pop3, aol
${ipfw} add 710 pass tcp from any pop3, aol to any
${ipfw} add 750 pass tcp from any 21, 80 to any
${ipfw} add 751 pass tcp from any to any 21, 80
${ipfw} add 752 pass tcp from any 20 to any
${ipfw} add 753 pass tcp from any to any 20
${ipfw} add 1002 allow ip from ${uprefix}.100 to any
${ipfw} add 1002 allow ip from any to ${uprefix}.100
${ipfw} add 65535 deny ip from any to anyТак вот ситуация такая: с любого клиента можно ходить по инету только через прокси. Не пингует адреса интернета типа www.mail.ru. IP определяет, а не пингует значит ДНС работает. Ранее и айпишник не узнавал пока не поставил ДНС. Подскажите хоть где копать.
И ещё если кто знает как лезу в инет где-то после 120 кб, на клиенте сетевуха не посылает запросы и не принемает. И заметил что если с двух компов начинаешь лазить то опять такие же грабли. У меня есть подозрение что это от WinXP Sp2. Раньше и там и там стоял SP1 и всё было в порядке.
Всем заранее спасибо!!!
Однозначно фаервол. По ipfw смотри по счетчикам какие правила срабатывают. По sp2 попробуй отключить внутренний фаервол и посмотри, что поменяется. На маршрутизаторе есть еще такая загадочная утилита tcpdump, которой все, что до сервера добирается, можно посмотреть... Желаю удачи!
>У меня есть подозрение что это от WinXP Sp2.Звучит глупо, но преценденты имеются.
Когда на тестовом клиенте поставил SP2 дохляк наступал после 70-128Kb (на первом работало без проблемм).Почему? Без понятия!
Вариантов перепробовал много, вплоть до вырезания виндовозовского файрвола прямо из пака, результат аналогичный.
>${ipfw} add 320 allow icmp from any to any
Это правило должно стоять после divert. Иначе твои ICMP пакеты не натяться из локалки.
Поднял диверт на 301, и 302 строку ничего не произошло.
Всё как было так и осталось
Всем спасибо!!!
Посидел, все правила проанализировал. И настроил.
Одним словом заработало!!!