URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3086
[ Назад ]

Исходное сообщение
"ipfw.sh не форвардит на squid "
Отправлено svyazist2005 , 25-Дек-06 22:26

Прокся как прозрачнаяне работает чего делаю не так ?
конфиг выглядит вот так:
#!/bin/sh
IPFW="/sbin/ipfw"
#outside interface, network, netmask and ip
oif="xl0"
onet="245.9.249.10"
omask="255.255.255.0"
oip="245.9.249.2"
#inside interface, network, netmask and ip
iif="rl0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.1"
###table luck
$IPFW table 1 flush
$IPFW table 1 add 192.168.0.1
$IPFW table 1 add 212.9.249.74
$IPFW -f flush
#####LOOPBACK#####
$IPFW add 00100 pass all from any to any via lo0
$IPFW add 00200 deny all from any to 127.0.0.0/8
$IPFW add 00300 deny ip from 127.0.0.0/8 to any
$IPFW add 01100 fwd 192.168.0.1,8080 tcp from $inet:$imask to any 80
$IPFW add 01000 allow tcp from $inet:$imask to $iip via $iif
$IPFW add 02000 pass tcp from any to $oip 21 setup
$IPFW add 02100 pass tcp from any to $oip 22 setup
$IPFW add 02200 pass tcp from any to $oip 49152-65535 setup
#samba
$IPFW add 03100 allow tcp from any to me 137,139
$IPFW add 03200 allow udp from any to me 137,139
$IPFW add 03300 allow udp from any to me 138
$IPFW add 03400 allow tcp from any 137,139 to me
$IPFW add 03500 allow udp from any 137,139 to me
$IPFW add 03600 allow udp from any 138 to me
$IPFW add 03700 allow tcp from $inet:$imask to me
###SMTP DEFENCE
$IPFW add 04000 deny tcp from $inet:$imask to not table$1$ 25
########NAT
$IPFW add 05000 divert 8668 ip from $inet:$imask to not $inet:$imask out xmit $oif
$IPFW add 05100 divert 8668 ip from not $inet:$imask to $oip in recv $oif
$IPFW add 05200 allow ip from $inet:$imask to any
$IPFW add 06600 allow ip from any to any
И еще подскажите как правильно написать правила на трафик чтобы не делать так явно 06600

Содержание

ipfw.sh не форвардит на squid ,binladin, 09:13 , 26-Дек-06

Сообщения в этом обсуждении

"ipfw.sh не форвардит на squid "
Отправлено binladin , 26-Дек-06 09:13

>Прокся как прозрачнаяне работает  чего делаю не так ?
>конфиг выглядит вот так:
Гы, а Фря то какая, форвардинг и расширенный форвардинг в ядро вкомпилен ?
>И еще подскажите как правильно написать правила на трафик чтобы не делать
>так явно 06600
  Читай здесь:
  1) http://www.onlamp.com/pub/a/bsd/2006/08/24/ipfw-for-firewall...
  2) http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
  По русски:
  1) читай на Опеннете "Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER)"
  У меня что то типа:
  uports="1025-65535"
  int_if="rl0"
  ext_if="tun0"
  int_ip="........"
  ext_ip="........"
  int_net="10.0.0.0/24"
  vip_net="10.0.0.0/27,10.0.0.110,10.0.0.44"
  for_lan="smtp,pop3,domain"
  for_vip="smtp,pop3,domain,http,https,aol,telnet,ftp,ftp\\-data,ssh,nicname,ntp,svn"
  Добавить что надобно по вкусу
  ${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
  ${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established
  ${ipfw} add allow tcp from any $for_vip to $vip_net $uports in recv $ext_if established
  А потом Все Deny