URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3069
[ Назад ]

Исходное сообщение
"поможите с  ipfw  пожалста, ну не работает этот шайтан!"

Отправлено svmt , 15-Дек-06 07:44 
Люди помогите разобратся
уперся в проблему которую решить не могу уже неделю! проблема в доступе юзерам на определенные сайты среди которых и https
перечитал кучу доков но чтото никак все.... freebsd 6.1
делаю следующее

Ядро
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=10
options   IPFIREWALL_FORWARD
options   IPDIVERT
options   DUMMYNET
options   TCP_DROP_SYNFIN


rc.conf
ifconfig_sk0="inet 192.168.10.1  netmask 255.255.255.0"     #локалка
ifconfig_fxp0="inet 212.212.212.212  netmask 255.255.255.224"#инет
defaultrouter="212.248.71.33"
gateway_enable="YES"
hostname="myhost.ru"

firewall_enable="YES"
firewall_type="/etc/rc.firewall"
#firewall_script="/etc/rc.firewall"

natd_enable="YES"
natd_interface="fxp0"
natd_flags=""

proftpd_enable="YES"
webmin_enable="YES"
cupsd_enable="YES"

trafd_enable="YES"
trafd_ifaces="sk0"
trafd_flags=" -r -p not port 22"
trafd_log="/var/log/traffic.log"

в штатный /etc/rc.firewall
все прописываю в этой секции:

  ############
  # Only in rare cases do you want to change these rules
  #
vip_ip="192.168.10.0/24{3,33,34,41,42,93,254}"

server_ip="192.168.10.0/24{201}" это внутренний сервак, на нем и экскрементирую :)


здесь разрешенные хосты
ЗЫ возможно это вынести в какой нить файлик и чтоб список
разрешенных считывался оттуда? как это сделать если возможно?
http_work="213.229.166.7,
      136.8.154.169,
      193.183.236.181,
      80.93.56.80,
      82.204.218.11,
      83.222.11.199,
      217.212.42.39,
      194.186.162.17,
      80.68.242.118


  ${fwcmd} add 30 pass all from any to any via lo0

Это для https если правильно понял.....
  ${fwcmd} add 50 allow all from any to any 443
  ${fwcmd} add 50 allow all from any 443 to any

это мне и мнеподобные  
  ${fwcmd} add 90 allow all from ${vip_ip} to any
  ${fwcmd} add 90 allow all from any to ${vip_ip}

Тут начинаются проблемы
не работает и так
  ${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199 via sk0
  ${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201 via sk0

И вот эдак  
  ${fwcmd} add 100 allow all from 192.168.10.201 to 83.222.11.199
  ${fwcmd} add 100 allow all from 83.222.11.199 to 192.168.10.201

в идеале хотел сделать так но оно тоже не айс!
  ${fwcmd} add 110 allow all from ${server_ip} to ${http_work}
  ${fwcmd} add 110 allow all from ${http_work} to ${server_ip}

с этим ваще путаница почемута без этого правила неработают
и в инет шастают вапще все кому не лень
    
${fwcmd} add 300 deny all from any to any via sk0

}

if [ -n "${1}" ]; then
  firewall_type="${1}"
fi


00030     0        0 allow ip from any to any via lo0
00050 26155 15459019 divert 8668 ip4 from any to any via fxp0
00050   121   103671 allow ip from any to any dst-port 443
00050   100    22492 allow ip from any 443 to any
00090  8682   828586 allow ip from 192.168.10.0/24{3,33,34,41,42,93,254} to any
00090 22057 23836213 allow ip from any to 192.168.10.0/24{3,33,34,41,42,93,254}
00100     0        0 allow ip from 192.168.10.201 to 83.222.11.199 via sk0
00100     0        0 allow ip from 83.222.11.199 to 192.168.10.201 via sk0
00300  1073   143294 deny ip from any to any via sk0
65000 11818  1531901 allow ip from any to any
65535   140    18152 deny ip from any to any

вот
люди ну помогите жеж разобратся с этим шайтаном!
ЗЫ
squid не предлагать, хочу с ipfw разобратся


Спасибо


Содержание

Сообщения в этом обсуждении
"поможите с  ipfw  пожалста, ну не работает этот шайтан!"
Отправлено torchok , 15-Дек-06 09:08 
сначала разреши что и кому должно, потом запрети остальным

используй автонумерацию или вручную задавай порядок правил. У тя намешано правил...

>http_work="213.229.166.7,
>     136.8.154.169,
>     193.183.236.181,
>     80.93.56.80,
>     82.204.218.11,
>     83.222.11.199,
>     217.212.42.39,
>     194.186.162.17,
>     80.68.242.118

А где закрывающие кавычки?? Почитай в тематическом разделе - там много. А natd? http://www.opennet.me/docs/RUS/ipfw_rus/ar01s05.html хотя бы это


"поможите с  ipfw  пожалста, ну не работает этот шайтан!"
Отправлено svmt , 15-Дек-06 09:15 
>
>А где закрывающие кавычки??

на самом деле они есть просто писал с чуйством глубокого возмущения
поэтому пропустил....


"поможите с  ipfw  пожалста, ну не работает этот шайтан!"
Отправлено Darchik , 15-Дек-06 15:47 
Слушай а у тебя прокся стоит?
Если да, то скорее всего в нем проблема

"поможите с  ipfw  пожалста, ну не работает этот шайтан!"
Отправлено Svmt , 16-Дек-06 10:22 
>Слушай а у тебя прокся стоит?
>Если да, то скорее всего в нем проблема

Нет не стоит
система чистая (пока)