Помогите, плз, настроил ipfw + nat под ФриБСД, но не получается разрешить работу почтового клиента с серверами мейл.ру :(
что то нужно ещё доразрешить, но не пойму что, ставил в конец правило:05600 deny log logamount 100 ip from any to any
но там ничего не видно,
научите, пожалуйста
покажи все что у тебя есть
спасибо за отклик, всё ещё не поборол
мне нужно, чтобы с 192.168.0.5 получилось проверить почту с pop.mail.ru, но не могу понять где застряёт запрос (
логи не показывают, денаев у меня вроде нет (
Вот моё хозяйство:00090 divert 8668 ip from 192.168.0.0/27 to any out xmit rl2
00095 divert 8668 ip from any to 213.186.221.84
00100 count ip from any to 213.186.221.84
00200 count ip from 213.186.221.84 to any
00300 allow ip from any to any via lo0
00400 allow icmp from any to any via lo0
00500 allow ip from 192.168.0.0/27 to 192.168.0.0/27
00600 allow ip from any to 192.168.0.5
00700 allow ip from 192.168.0.5 to any
00800 allow ip from any to 192.168.0.28
00900 allow ip from 192.168.0.28 to any
01000 allow ip from any to 192.168.0.7
01100 allow ip from 192.168.0.7 to any
01200 allow ip from any to 192.168.0.30
01300 allow ip from 192.168.0.30 to any
01400 allow tcp from 213.186.221.84 25 to any
01500 allow tcp from any 25 to 213.186.221.84
01600 allow udp from 213.186.221.84 25 to any
01700 allow udp from any 25 to 213.186.221.84
01800 allow tcp from 213.186.221.84 to any dst-port 25
01900 allow tcp from any to 213.186.221.84 dst-port 25
02000 allow udp from 213.186.221.84 to any dst-port 25
02100 allow udp from any to 213.186.221.84 dst-port 25
02200 allow tcp from 213.186.221.84 to any dst-port 23,80,81,8080,8101
02300 allow tcp from any 23,80,81,8080,8101 to 213.186.221.84
02400 allow icmp from any to 213.186.221.32/28
02500 allow icmp from 213.186.221.32/28 to any
02600 allow tcp from any to 213.186.221.84 dst-port 113
02700 allow tcp from 213.186.221.84 to any dst-port 113
02800 allow tcp from any 113 to 213.186.221.84
02900 allow tcp from 213.186.221.84 113 to any
03000 allow udp from any to any dst-port 53
03100 allow udp from any 53 to any
03200 allow tcp from any to any dst-port 53
03300 allow tcp from any 53 to any
03400 allow udp from any to any dst-port 20,21
03500 allow udp from any 20,21 to any
03600 allow tcp from any to any dst-port 20,21
03700 allow tcp from any 20,21 to any
03800 allow tcp from any 22 to any
03900 allow tcp from any to any dst-port 22
04000 allow tcp from any to 213.186.221.84 dst-port 80
04100 allow tcp from 213.186.221.84 80 to any
04200 allow udp from any to 213.186.221.84 dst-port 80
04300 allow udp from 213.186.221.84 80 to any
04400 allow udp from any to any dst-port 443
04500 allow udp from any 443 to any
04600 allow tcp from any to any dst-port 443
04700 allow tcp from any 443 to any
04800 allow udp from any to any dst-port 590
04900 allow udp from any 590 to any
05000 allow tcp from any to any dst-port 590
05100 allow tcp from any 590 to any
05200 allow tcp from 213.186.221.84 1025-65535 to any dst-port 1025-65535
05300 allow tcp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535
05400 allow udp from 213.186.221.84 1025-65535 to any dst-port 1025-65535
05500 allow udp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535
05600 deny log logamount 100 ip from any to any
65535 deny ip from any to any
cat /etc/natd.conf ?
cat /etc/rc.conf | grep natd ?
ifconfig ?
>cat /etc/natd.conf ?
>cat /etc/rc.conf | grep natd ?
>ifconfig ?
cпасибо за отклик, пока не поборолся
дело в том, что нат работает и когда все эти правила заменяем firewall_type=open, то всё в порядке# less natd.conf
same_ports yes
use_sockets yes
#less rc.conf
sshd_enable="YES"
inetd_enable="YES"
sendmail_enable="YES"
sendmail_flags="-bd -q30m"
ifconfig_rl1_alias0="inet 192.168.0.1/27"
ifconfig_rl2="inet 213.186.221.84/30"
defaultrouter="213.186.221.85"
hostname="imedia"named_enable="YES"
#named_flags="-u bind -g bind"firewall_enable="YES"
#firewall_type="open"
firewall_type="imedia"
natd_enable="YES"# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:02:44:8f:e3:2e
media: Ethernet autoselect (none)
status: no carrier
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.1 netmask 0xffffffe0 broadcast 192.168.0.31
ether 00:80:48:1f:d0:5c
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 213.186.221.84 netmask 0xfffffffc broadcast 213.186.221.39
ether 00:0b:6a:67:b3:87
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="em0"
natd_flags="-f /etc/natd.conf"
это у меня в rc.conf по нату. насколько я знаю нужно указывать интерфейс на котором висит инет (в моем случае em0)второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow all from any to any - будет ли такая схема работать?
спасибо - немного приблизились>второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow
>all from any to any - будет ли такая схема работать?да, так работает, если убрать 05600
05600 deny log logamount 100 ip from any to any
65499 allow ip from any to any
65535 deny ip from any to anyхорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не появляется ?!!! как же узнать, куда оно стучится ?
>спасибо - немного приблизились
>
>>второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow
>>all from any to any - будет ли такая схема работать?
>
>да, так работает, если убрать 05600
>
>05600 deny log logamount 100 ip from any to any
>65499 allow ip from any to any
>65535 deny ip from any to any
>
>хорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не
>появляется ?!!! как же узнать, куда оно стучится ?насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать IPFIREWALL_VERBOSE, это включение лога для ipfw
>насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать
>IPFIREWALL_VERBOSE, это включение лога для ipfwДа, это всё включено, вот почему оно не фиксирует этот запрос, хотя именно здесь всё и рубится?
дело именно в настройках файрвола - что-то нужно открыть, а что, я ни как не пойму :(:(:(
спасибо, но пока не поборол
Значит, вот такие правила помогли:allow ip from any to 194.67.23.102 dst-port 110
allow ip from 194.67.23.102 110 to any194.67.23.102 - это поп.мейл.ру
причём, если вместо "any" указывать любой адрес - локальный или реальный, сеть, подсеть - Не помагает, почему-то только так :(
вообще-то это не хорошо - причём здесь "any"
????