Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое правило надо написать что б дать доступ из локальной сети пинговать тазик провайдера? вот как сейчас настроено
ipfw='/sbin/ipfw -q'
ournet='192.168.0.0/16'
uprefix='192.168.0'
oprefix='xxx.xxx.xxx.xxx'
ifout='ppp0'
ifuser='rl0'
${ipfw} flush
${ipfw} add 50 deny ip log from any to any
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 300 allow ip from any to any via lo0
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 410 allow tcp from any ${ournet} to me smtp
${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${
ifout}
${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout}
#${ipfw} add 520 divert natd ip from ${ournet} to any out via ${ifuser}
${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}
${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}
${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser}
${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser}
${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser}
${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser}
${ipfw} add 1005 allow ip from ${uprefix}.5 to any via ${ifuser}
${ipfw} add 1005 allow ip from any to ${uprefix}.5 via ${ifuser}
natd - запускается пучком, что не так подскажите, уже столько правил перепробовал, инет есть, а пинга всё равно нет!
нехватает у тебя как минимум одного правила после диверта!!!tcpdump тебе поможет!!!
>нехватает у тебя как минимум одного правила после диверта!!!
>
>tcpdump тебе поможет!!!
Дело в том что я первый так сказать раз настраиваю фаэрвол, и просто не представляю какого правила там ещё не хватает, и каким образом мне поможет tcpdump тоже не пойму. Может это смешно но правда!
>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>просто не представляю какого правила там ещё не хватает, и каким
>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>правда!
ну тогда читай:
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=35
там про нат и про фарвол и про ядро!!!!
а потом уже добавляй/меняй по чуть-чуть правила и смотри что происходит!!!
да и кстати если будешь переходить на старшую версию для того чтоб работал форвард в ядро нада добавлять
options IPFIREWALL_FORWARD
>да и кстати если будешь переходить на старшую версию для того чтоб
>работал форвард в ядро нада добавлять
>options IPFIREWALL_FORWARDСтатью читал там правила не описаны и нат я пока запускаю вручную так как
ппп активируется позже чем нат - и естественно ругается а ты знаешь какого правила не хватает после диверта потому что я так эксперементирую уже неделю и ещё чуть-чуть и будут проводить эксперементы с моей жопой! подскажи если знаешь!
>Статью читал там правила не описаны и нат я пока запускаю вручную
>так как
>ппп активируется позже чем нат - и естественно ругается а ты знаешь
>какого правила не хватает после диверта потому что я так эксперементирую
>уже неделю и ещё чуть-чуть и будут проводить эксперементы с
>моей жопой! подскажи если знаешь!
сделай пока так
диверть все через что идет через ппп
${ipfw} add divert natd ip from any to any via ${ifwan}
попробуй добавить после диверта правило
${ipfw} allow all from any to any
если заработает то скорее всего тебе нада добавить правило после диверта, которое разрешит доступ к айпи твоего ппп или просто к me
> ${ipfw} flush
> ${ipfw} add 50 deny ip log from any to anyЧето я не понял, зачем правило 50 ?
Его надо поставить в в самый конец, т.е. номер ему сделай 65000
перезапускаешь фаер, пробуешь пинг, и смотрим в /var/log/security
пинг должен там осесть в DENY, если он там с deny - пиши соответсвуюуще правило на pass
а вообще ...log logamount <x>... - рулез ! И tcpdump не нужен.