Прошу помощи!
Внитри сети нет возможности подключиться к imap серверам, с самого роутера могу попасть на 143 порт нормально.
правила такие:
fwcmd="/sbin/ipfw -q"
ournet="192.168.0.0/24"
uprefix="192.168.0"
ifout="an0"
ifuser="sis0"# Reset all firewall rules
${fwcmd} -f flush${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ournet} to any http in via ${ifuser}
#FTP
${fwcmd} add allow tcp from any to me 20,21
${fwcmd} add allow tcp from any to me 49152-65535
${fwcmd} add allow all from me to any keep-state${fwcmd} add divert natd all from any to any via ${ifout}
${fwcmd} add allow all from any to me
${fwcmd} add allow all from me to any# Allow Internet for users in local network
${fwcmd} add allow all from ${ournet} to any
${fwcmd} add allow all from any to ${ournet}не могу сообразить какое правило нужно поставить чтоб пользователи могли использовать imap.
Помогите советом.
>Прошу помощи!
>Внитри сети нет возможности подключиться к imap серверам, с самого роутера могу
>попасть на 143 порт нормально.
>правила такие:
>fwcmd="/sbin/ipfw -q"
>ournet="192.168.0.0/24"
>uprefix="192.168.0"
>ifout="an0"
>ifuser="sis0"
>
># Reset all firewall rules
>${fwcmd} -f flush
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ournet} to any http in via
>${ifuser}
>
>#FTP
>${fwcmd} add allow tcp from any to me 20,21
>${fwcmd} add allow tcp from any to me 49152-65535
>${fwcmd} add allow all from me to any keep-state
>
>${fwcmd} add divert natd all from any to any via ${ifout}
>
>${fwcmd} add allow all from any to me
>${fwcmd} add allow all from me to any
>
># Allow Internet for users in local network
>${fwcmd} add allow all from ${ournet} to any
>${fwcmd} add allow all from any to ${ournet}
>
>не могу сообразить какое правило нужно поставить чтоб пользователи могли использовать imap.
>
>Помогите советом.imap-сервера где? СНАРУЖИ? тогда нужно транслировать адреса и разрешить выход наружу на 143 порт:
это правило до divert
${fwcmd} add allow tcp from ${ournet} to any 143 in via ${ifuser}
${fwcmd} add divert natd tcp from ${ournet} to any 143 out via ${ifout}
${fwcmd} add allow all from ${ournet} to any 143 out via ${ifout}P.S. я придерживаюсь правила deny all feom any to any, потому разрешаю только то, что действительно нужно. А у Вас, как я вижу, достаточно "дырявые" правила.
P.S.S. от natd я отказался в пользу ipnat.
P.S.S.S. от ipfw и ipnat я тоже когда нибудь откажусб в пользу pf :-)
>imap-сервера где? СНАРУЖИ? тогда нужно транслировать адреса и разрешить выход наружу на
>143 порт:
>
>это правило до divert
>${fwcmd} add allow tcp from ${ournet} to any 143 in
>via ${ifuser}
>${fwcmd} add divert natd tcp from ${ournet} to any 143 out via
>${ifout}
>${fwcmd} add allow all from ${ournet} to any 143 out via ${ifout}
>
>
>P.S. я придерживаюсь правила deny all feom any to any, потому разрешаю
>только то, что действительно нужно. А у Вас, как я вижу,
>достаточно "дырявые" правила.
>
>P.S.S. от natd я отказался в пользу ipnat.
>
>P.S.S.S. от ipfw и ipnat я тоже когда нибудь откажусб в пользу
>pf :-)Да, сервера снаружи, конкретно нужен mail.mac.com на него пользователь не могут попасть (imap)
куда конкретно эти правила надо ставить в моем случае?
ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet} imap setup
после natd, и смог с клиентского компа попасть телнетом на 143 порт mail.mac.com
но на Macintosh машине почему-то телнетом не могу попасть, а именно на нем это все и надо сделать.
>ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet}
>imap setup
насколько понял это правило, Вы разрешаете доступ снаружи к Вашей ЛВС на порт imap... Зачем? я так понимаю, что пакетики на mail.mac.com порт imap уходят по другому правилу.
>после natd, и смог с клиентского компа попасть телнетом на 143 порт
>mail.mac.com
>но на Macintosh машине почему-то телнетом не могу попасть, а именно на
>нем это все и надо сделать.попробуйте в правила после allow и divert добавить log logamount 1000, и запустите tcpdump на внутреннем интерфейсе:
tcpdump -ni sis0 port 143
и в другой консоли для внешнего:
tcpdump -ni an0 port 143и посмотрите, куда идут пакетики, когда они транслируются и как приходят ответы.
И полезну посмотреть тут: http://www.bsdforums.org/forums/showthread.php?t=43858
>>ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet}>попробуйте в правила после allow и divert добавить log logamount 1000, и
>запустите tcpdump на внутреннем интерфейсе:
>tcpdump -ni sis0 port 143
>и в другой консоли для внешнего:
>tcpdump -ni an0 port 143
>
>и посмотрите, куда идут пакетики, когда они транслируются и как приходят ответы.
>
>И полезну посмотреть тут: http://www.bsdforums.org/forums/showthread.php?t=43858
medusafilms# tcpdump -ni sis0 port 143
tcpdump: listening on sis0
16:20:48.759128 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323 9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325354 0> (DF) [tos 0x10]
16:20:51.445061 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323 9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325359 0> (DF) [tos 0x10]
16:20:54.446094 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323 9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325365 0> (DF) [tos 0x10]
16:20:57.446395 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323 9(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:00.643884 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323 9(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:03.615065 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:09.451008 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:21.453893 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]medusafilms# tcpdump -ni an0 port 143
tcpdump: listening on an0
16:22:11.809733 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325520 0> (DF) [tos 0x10]
16:22:14.469732 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325525 0> (DF) [tos 0x10]
16:22:16.068000 17.250.248.152.143 > 81.13.95.34.49825: S 1753257251:1753257251(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619193 1700325525,mss 1460,nop,wscale 0> (DF)
16:22:16.068110 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:16.069172 17.250.248.152.143 > 81.13.95.34.49825: S 1753257251:1753257251(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619249 1700325525,mss 1460,nop,wscale 0> (DF)
16:22:16.069260 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:17.891336 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325531 0> (DF) [tos 0x10]
16:22:19.663165 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619490 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:19.663282 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:19.665418 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619546 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:19.665529 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:20.421797 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619658 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:20.762619 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:20.762794 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:22:21.822315 17.250.248.152.143 > 81.13.95.34.49825: S 1767347370:1767347370(0) ack 4201683294 win 33580 <mss 1460> (DF)
16:22:21.822433 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:23.966766 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:22:26.581076 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]
как со всем этим разобраться нет никакого понятия.
>как со всем этим разобраться нет никакого понятия.man 8 tcpdump для начала
В общих чертах... Это все заголовки пакетов между твоим хостом 192.168.0.105 и внутренним интерфейсом как транзит на 17.250.248.152:143 mail.mac.com... На внешнем интерфейсе у тебя уже транслиованный адрес 192.168.0.105->81.13.95.34 (твой внешний ip)... Далее пакету идут куда надо, то есть на 17.250.248.152:143 (еще бы, у Вас же allow all from any to any почти;-)...
Судя по строке
16:22:21.822315 17.250.248.152.143 > 81.13.95.34.49825: S 1767347370:1767347370(0) ack 4201683294 win 33580 <mss 1460> (DF)
ответы от mail.mac.com приходят на ваш внешний интерфейс. А вот обратно они не транслируются, почему то, так как в дампе на внутреннем интерфейсе видны только пакеты туда (хотя, во времени, этого не видно, так как дамп закончен в 16-21-21, а ответ пришел 16-22-16)...
предлагаюпересмотреть правила ipfw, его логи. Для тестирования добавить опцию log