URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79883
[ Назад ]

Исходное сообщение
"ipfw что не так?"
Отправлено alt_7 , 18-Апр-08 05:02

Доброе время суток!!!
Когда пытаюсь подключиться к серверу FreeBSD 6.3 из внутренней сети по ssh то при следующих натсройках ipfw:
ipfw="/sbin/ipfw -q"
LanOut="sis0"
LanIn="dc0"
IpIn="**.**.**.**"
IpOut="**.**.**.**"
${ipfw} -f flush
${ipfw} add 200 deny ip from any to any frag
${ipfw} add 300 allow ip from any to any via lo0
${ipfw} add 400 deny ip from any to 127.0.0.0/8
${ipfw} add 500 deny ip from 127.0.0.0/8 to any
${ipfw} add 600 allow ip from any to ${IpOut} 20,21 via ${LanOut}
${ipfw} add 700 allow ip from ${IpOut} 20,21 to any via ${LanOut}
${ipfw} add 800 allow all from ${IpIn} 20,21 to any via ${LanIn}
${ipfw} add 900 allow all from any to ${IpIn} 20,21 via ${LanIn}
${ipfw} add 1000 allow all from any to any via ${LanIn}
${ipfw} add 1100 allow ip from ${IpOut} to any via ${LanOut}
${ipfw} add 1200 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${ipfw} add 1300 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${ipfw} add 1400 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${ipfw} add 1500 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${ipfw} add 1600 deny ip from any to 169.254.0.0/16 in via ${LanOut}
${ipfw} add 1700 deny ip from any to 240.0.0.0/4 in via ${LanOut}
${ipfw} add 1800 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${ipfw} add 1900 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${ipfw} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${ipfw} add 2100 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${ipfw} add 2200 deny ip from 169.254.0.0/16 to any out via ${LanOut}
${ipfw} add 2300 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${ipfw} add 2400 deny ip from 240.0.0.0/4 to any out via ${LanOut}
${ipfw} add 2600 deny log icmp from any to 255.255.255.255 via ${LanOut}
${ipfw} add 2700 deny log icmp from any to 255.255.255.255 out via ${LanOut}
${ipfw} add 2800 allow tcp from any to any established
${ipfw} add 2900 allow ip from ${IpOut} to any out xmit ${LanOut}
${ipfw} add 3000 allow ip from any to ${IpOut} 1723
${ipfw} add 3100 allow gre from any to ${IpOut}
${ipfw} add 3200 allow gre from ${IpOut} to any
${ipfw} add 3300 allow ip from ${IpOut} to any establised
${ipfw} add 3400 allow ip from 10.140.140.48/29 to any
${ipfw} add 3500 allow ip from any to 10.140.140.48/29
${ipfw} add 3600 reject tcp from any to any tcpflags !'syn', !'fin', !'ack', !'psh', !'rst', !'urg'
${ipfw} add 3700 reject tcp from any to any tcpflags syn, fin, ack, psh, rst, urg
${ipfw} add 3800 reject tcp from any to any not established tcpflags fin
${ipfw} add 3900 deny ip from any to any not verrevpath in
${ipfw} add 65000 deny ip from any to any
после приглашения ввода логина строчку для ввода пароля приходится ожитать очень долго.
Если прописываю строку разрешающую весь трафик: ${ipfw} add allow ip from any to any
подключение происходит быстро. Если убираю все правила и оставляю только правило №1000 и правило № 65000, то все равно подключаюсь долго.
ЧТо не так в натсройках ipfw? Может ли быть проблема в порядке правил?

Содержание

ipfw что не так?,ShyLion, 07:17 , 18-Апр-08
- ipfw что не так?,parad, 08:13 , 18-Апр-08
  - ipfw что не так?,mnv, 08:41 , 18-Апр-08
    - ipfw что не так?,alt_7, 09:15 , 18-Апр-08
      - ipfw что не так?,parad, 17:13 , 18-Апр-08
  - ipfw что не так?,alt_7, 07:15 , 29-Апр-08

Сообщения в этом обсуждении

"ipfw что не так?"
Отправлено ShyLion , 18-Апр-08 07:17

>ЧТо не так в натсройках ipfw? Может ли быть проблема в порядке
>правил?
Включить лог отвергнутых пакетов и увидишь какое правило блокирует.

"ipfw что не так?"
Отправлено parad , 18-Апр-08 08:13

Проверь днс в /etc/resolv.conf, либо в конфиге ссша отключи резолвинг.

"ipfw что не так?"
Отправлено mnv , 18-Апр-08 08:41

>Проверь днс в /etc/resolv.conf, либо в конфиге ссша отключи резолвинг.
Либо добавь перед всеми deny строчку allow ip from any to any 53
Желательно и перед тем как ты фрагментированые пакеты запрещаешь

"ipfw что не так?"
Отправлено alt_7 , 18-Апр-08 09:15

>>Проверь днс в /etc/resolv.conf, либо в конфиге ссша отключи резолвинг.
>
>Либо добавь перед всеми deny строчку allow ip from any to any
>53
>
>Желательно и перед тем как ты фрагментированые пакеты запрещаешь
Я думаю что проблема скорее всего не в этом т.к. если я оставляю всего 4-и правила:
${ipfw} add allow all from any to any via ${LanIn}
${ipfw} add allow all from any to ${IpIn}
${ipfw} add allow all from ${IpIn} to any
${ipfw} add deny all from any to any
то все равно после ввода логина строчка для ввода пароля выскакиевает примерно секунд так через 30 а если добавляю
${ipfw} add allow all from any to any
то выскакивает моменетально.

"ipfw что не так?"
Отправлено parad , 18-Апр-08 17:13

Проблема именно в этом, сделай что написано.

"ipfw что не так?"
Отправлено alt_7 , 29-Апр-08 07:15

>Проверь днс в /etc/resolv.conf, либо в конфиге ссша отключи резолвинг.
Помогло.
Есть еще вопрос. С приведенными выше настройками ipfw при подключении к ftp через браузер выдает: В ходе открытия папки на ftp-сервере произошла ошибка. Убедитесь, что у вас есть разрешения открывать эту папку.
Хотя при этом через Total Comander, Far все открывается нормально. Если разрешаю any to any, то через браузер, получается, зайти в папку. В чем может быть проблема?