На компьютере (FreeBSD 5.1) 2 карточкиrl0 172.16.75.54/255.255.255.0 - смотрит в локальную сеть
ipln0 172.16.49.63/255.255.255.0 - смотрит в ИнтернетВключен nat и ipfw (rc.conf привожу ниже)
gateway_enable="YES"
tcp_extension="NO"
tcp_drop_synfin="YES"
firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="ipln0"
natd_flags=""
defaultrouter="172.16.49.51"Ядро компилировалось с такими опциями:
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options TCP_DROP_SYNFINВ локалке нужно одной машине с IP 172.16.75.53 дать выход в интернет для работы по HTTP, FTP, POP3, SMTP, ICQ.
Использую такой скрипт для переопределения правил ipfw.
#!/bin/sh
#сброс всех правил
ipfw -q flush#natd
ipfw add divert 8668 ip from any to any via ipln0#dns
ipfw add allow udp from any to any 53
ipfw add allow udp from any 53 to any#http
ipfw add allow ip from any 80 to 172.16.49.63
ipfw add allow ip from any 80 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 80
ipfw add allow ip from 172.16.75.53 to any 80#icq
ipfw add allow ip from any 5190 to 172.16.49.63
ipfw add allow ip from any 5190 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 5190
ipfw add allow ip from 172.16.75.53 to any 5190#smtp
ipfw add allow ip from any 25 to 172.16.49.63
ipfw add allow ip from any 25 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 25
ipfw add allow ip from 172.16.75.53 to any 25#pop3
ipfw add allow ip from any 110 to 172.16.49.63
ipfw add allow ip from any 110 to 172.16.75.53
ipfw add allow ip from 172.16.49.63 to any 110
ipfw add allow ip from 172.16.75.53 to any 110#ftp
ipfw add allow ip from 172.16.75.53 to any 20,21
ipfw add allow ip from 172.16.49.63 to any 20,21
ipfw add allow ip from any 20,21 to 172.16.75.53
ipfw add allow ip from any 20,21 to 172.16.49.63Все работает кроме FTP.
Нашел здесь на форуме совет, добавить правило
ipfw add allow ip from me 1024-65535 to any
Но и с ним не работает.
Что надо поправить, что бы можно было работать по FTP?
>#ftp
>ipfw add allow ip from 172.16.75.53 to any 20,21
>ipfw add allow ip from 172.16.49.63 to any 20,21
>ipfw add allow ip from any 20,21 to 172.16.75.53
>ipfw add allow ip from any 20,21 to 172.16.49.63
>
>Все работает кроме FTP.
>Нашел здесь на форуме совет, добавить правило
>ipfw add allow ip from me 1024-65535 to any
>Но и с ним не работает.
>Что надо поправить, что бы можно было работать по FTP?а ты попробуй вот так:
ipfw add 1000 allow tcp from 172.16.75.53 to any 20,21
ipfw add 1010 allow udp from 172.16.75.53 to any 20,21
ipfw add 1020 allow tcp from any 20,21 to 172.16.75.53
ipfw add 1030 allow udp from any 20,21 to 172.16.75.53
разреши не от себя из 1024-65535 а к себе в !!!рекомендую посмотреть секцию stateful firewall в man ipfw
тогда у тебя правил будет в 20 раз меньше и єффективнее на порядок