Вобщем такая вот ситуация:
Настроил шлюз на FreeBSD 7.0
на нем крутится NAT+ipfw+mpd5+squid+dhcpd+named(кеширующий) etc (apache, lightsquid, freeradius начал поднимать)ipfw:
fwcmd="/sbin/ipfw"
$fwcmd -f flush
# смотрит в сетку с нетом
eint="rl0"
eip="192.168.1.200"
# локалка
iip="10.10.10.1"
iint="rl1"
# сюда воткнул точку доступа
wint="rl2"
wip="192.168.128.1"n1="10.10.10.0"
# mpd5 отдает ip из этой подсети
vpn="192.168.127.0"wls="192.168.128.0"
# pass all through loopback device
${fwcmd} add pass all from any to any via lo0# deny other lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any# anti-hack from outside
${fwcmd} add deny ip from me to any in recv ${eint}# deny netbios
# ${fwcmd} add deny ip from any 137-139 to any
# ${fwcmd} add deny ip from any to any 137-139
поидее не запрещено...# SSH for localhost allow
${fwcmd} add allow tcp from me 22 to any
${fwcmd} add allow tcp from any to me 22# DNS transfers to world for WLS clients
${fwcmd} add allow udp from me 53 to any via ${wint}
${fwcmd} add allow udp from any to me 53 via ${wint}# DNS, NTP, SNMPx2, DNSs
${fwcmd} add allow udp from me to any 53,123,161
${fwcmd} add allow udp from any 53,123,161 to me${fwcmd} add allow tcp from me 1723 to any keep-state
${fwcmd} add allow tcp from ${wls}/24 to ${wip} 1723 via ${wint}
${fwcmd} add allow gre from any to any${fwcmd} add allow all from ${vpn}/24 to ${n1}/24
${fwcmd} add allow all from ${n1}/24 to ${vpn}/24${fwcmd} add fwd 127.0.0.1,3128 tcp from ${n1}/24 to any http via ${iint} #keep-s
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${vpn}/24 to any http${fwcmd} add allow tcp from me to any 20,21,80,443 keep-state
${fwcmd} add allow tcp from me to any 49151-65535 keep-state${fwcmd} nat 123 config ip ${eip}
${fwcmd} add nat 123 ip from ${vpn}/24 to not ${n1}/24
${fwcmd} add nat 123 ip from ${n1}/24 to any
${fwcmd} add nat 123 ip from any to ${eip} via ${eint}${fwcmd} add deny icmp from any to any frag
${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,10,11,30${fwcmd} add allow tcp from any to any established
${fwcmd} add deny log logamount 3000 all from any to anyимеется 3 интерфейса. все описал выше...
mpd5 слушает на всех интерфейсах
при подключении через rl1 (внутнинняя локалка) или VPN через WLS доступ в внешнюю сетку к компам есть, но только по ip, а хотелось бы чтобы и NetBIOS работал тоже.log/security
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in vi
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in vi
Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:29:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:31:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:32:21 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:33:39 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:35:36 inet kernel: ipfw: 3000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via rl1
Oct 25 13:35:38 inet last message repeated 2 times
Oct 25 13:35:44 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:37:49 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:39:54 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:46:09 inet last message repeated 3 times
Oct 25 13:46:55 inet kernel: ipfw: 3000 Deny UDP 192.168.1.50:68 255.255.255.255:67 in vi
Oct 25 13:47:00 inet kernel: ipfw: 3000 Deny UDP 192.168.1.50:68 255.255.255.255:67 in vi
Oct 25 13:48:14 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:48:30 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:68 255.255.255.255:67 in via
Oct 25 13:48:30 inet last message repeated 2 times
Oct 25 13:48:30 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:48:32 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:68 255.255.255.255:67 in via
Oct 25 13:48:32 inet kernel: ipfw: 3000 Deny UDP 192.168.1.1:67 255.255.255.255:68 in via
Oct 25 13:50:19 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:52:24 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:52:43 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:54:02 inet kernel: ipfw: 3000 Deny UDP 192.168.1.39:68 255.255.255.255:67 in vi
Oct 25 13:54:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:56:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0
Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in via rl0только такое
может кто знает как разрешить хождение NetBIOS в данном случае
>Вобщем такая вот ситуация:
>log/security
>
>Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in
>vi
>только такое
>может кто знает как разрешить хождение NetBIOS в данном случаевключите логирование и посмотрите по какому правилу проходят необходимые пакеты
>>Вобщем такая вот ситуация:
>>log/security
>>
>>Oct 25 13:28:27 inet kernel: ipfw: 3000 Deny UDP 192.168.1.80:68 255.255.255.255:67 in
>>vi
>>только такое
>>может кто знает как разрешить хождение NetBIOS в данном случае
>
>включите логирование и посмотрите по какому правилу проходят необходимые пакеты${fwcmd} add deny log logamount 3000 all from any to any
а это не логирование разве?
но в логах нет ничего кроме того что я запостил
>[оверквотинг удален]
>vi
>Oct 25 13:54:29 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>Oct 25 13:56:34 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>via rl0
>
>только такое
>может кто знает как разрешить хождение NetBIOS в данном случаеhttp://www.texnet.ru/info/i003.htm
Основной недостаток NetBEUI — он не поддерживает маршрутизацию.Пропиши в днс и будешь обращаться по именам
>[оверквотинг удален]
>>Oct 25 13:58:40 inet kernel: ipfw: 3000 Deny P:2 192.168.1.1 224.0.0.1 in
>>via rl0
>>
>>только такое
>>может кто знает как разрешить хождение NetBIOS в данном случае
>
>http://www.texnet.ru/info/i003.htm
>Основной недостаток NetBEUI — он не поддерживает маршрутизацию.
>
>Пропиши в днс и будешь обращаться по именама есть примерчик? это мне все хосты в локалке нужно прописать?