ЗдравствуйтеВопрос обсуждался уже многократно, статьи по нему есть на каждом уважающем себя сайте - а вот, споткнулся)
Задача - организовать выход в интернет для подсети 192.168.0.0/24 шлюзом на freebsd 6.3 (2 сетевухи)
Снаружи должны быть видны только 22 и 80 порты.После вдумчивого прочтения кучи документации получилось это:
00100 check-state
00260 divert 8668 ip from 192.168.0.0/24 to any out via rl0
00270 divert 8668 ip from any to 193.178.237.142 in via rl0
00280 allow ip from me to any keep-state
00300 allow ip from any to any via lo
00500 allow ip from any to any via rl1
65535 deny ip from any to any(rl0 - внешняя сетевушка, rl1 - внутренняя)
Проблема в том, что конструкция не работает) Проблема именно в наборе правил, т.к. если добавить в конце
ipfw add allow ip from any to any - все работает.Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к своей ситуации почему-то не могу. Просьба указать, где грабли...
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>[оверквотинг удален]
>65535 deny ip from any to any
>
>(rl0 - внешняя сетевушка, rl1 - внутренняя)
>
>Проблема в том, что конструкция не работает) Проблема именно в наборе правил,
>т.к. если добавить в конце
>ipfw add allow ip from any to any - все работает.
>
>Поиск юзал (и по этому сайту, и гуглил), но применить конкретно к
>своей ситуации почему-то не могу. Просьба указать, где грабли...А вот один вопрос? NAT то запущен?
>А вот один вопрос? NAT то запущен?Запущен. Я же писал: если разрешить всем все - инет есть.
>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>а правила, разрешающего внутренней сети ходить наружу - не наблюдаетсят.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
Попробую завтра...
>>А вот один вопрос? NAT то запущен?
>
>Запущен. Я же писал: если разрешить всем все - инет есть.
>
>>так дело в том, что пакеты с внутренней сети и наружу идут с внутренней сети.
>>а правила, разрешающего внутренней сети ходить наружу - не наблюдается
>
>т.е. нехватает ipfw add allow ip from 192.168.0.0/24 to any out keep-state?
>
>Попробую завтра...На самом деле при наличие ната -выдуманные вами правила - вздор...
add 31000 allow ip from any to any via lo0
add 33950 allow tcp from any to me 22,80 keep-state
add 35250 divert natd all from any to any via внешняя_карточка
add 35300 allow all from any to anyа в конфиге ната указать:
deny_incoming yesэто правило зарэжэт :) все входящие пакеты пришедшие не в ответ на исходящие пакеты...
в конфиг ната же встраиваются правила для редиректа портов