Вкратце : руководство поставило задачу перейти в срок до конца недели с керио на фрибсд.
Конец недели завтра.
сейчас стоит керио 6.4, помимо простого НАТа. обеспечивает проброс портов по фтп, РДП, некоторым другим. и по айпителефонии. На интерфейсе 2003 винды 2 айпишника (1 для работы прокси, 2ой для ВОИП АТС)
Проблема в том я наверное 0 в freebsd. и в общем пока из этого ничего не выходит, непонимаю где и что не так делаю.конфиг rc.conf
hostname ="gate"
gateway_enable ="YES"
ifcongif_re0=" inet 192.168.0.202 netmask 255.255.255.0" #тестовый режим, адрес #локалки,шлюзом которой является сейчас сервер с керио
ifcongif_vr0=" iinet 192.168.1.250 netmask 255.255.255.0" # тестовый режим, тестовая #одсеть локалки
defaultriuter="192.168.0.199" # сервер 2003 с керио который является шлюзом текущей #локальной сети
firewall_enable="YES"
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_type="/etc/firewall-nat"
sshd_enable="YES"
squid_enable="YES" # изначально хотел со сквидом, но не смог раззобраться в основах
moused_enable="YES"
ntpd_enable="YES"
powerd_enable="YES"
dumdev="AUTO"
КОНФИГ /etc/firewall-natallow 10 ip from any to any via vr0
nat 1 config log if re0 reset same_ports
add 100 nat 1 ip from any to any via re0
# так все работает, в том смысле что вообще все через себя пускает, но надо некоторые порты закрыть, эскперементировал очень много , вот самое простоеallow 10 ip from any to any via vr0
add 20 deny tcp from any to any 80 via vr0
nat 1 config log if re0 reset same_ports
add 100 nat 1 ip from any to any via re0ДЛя теста добавил 2 строчку, но 80 ый порт не закрылся , как ходил так и хожу через браузер куда угодно. Вопрос как корректно его зарыть ? или закрыть все ненужное в таком конфиге ? пробовал еще вместо первого
add 10 allow tcp from any to any 21,80-83,53,61,465 via vr0
результатом было то что сервер пинговал внешние ресурсы, а вот подключаемые компы не видели ничего кроме сервера.
В общем подскажите как доделать конфиг чтоб закрыть не нужные порты и оставить к примеру 21,80-83,53,61,465 ... так же как пробросить к примеру 21 порт на 192.168.1.199, спс
ps так же кериое сейчас автоматически переключает каналы основной и резеврный, как то это можно в freebsd ?
http://m0n0.ch/wall/
http://www.pfsense.org/
>[оверквотинг удален]
> корректно его зарыть ? или закрыть все ненужное в таком конфиге
> ? пробовал еще вместо первого
> add 10 allow tcp from any to any 21,80-83,53,61,465 via vr0
> результатом было то что сервер пинговал внешние ресурсы, а вот подключаемые компы
> не видели ничего кроме сервера.
> В общем подскажите как доделать конфиг чтоб закрыть не нужные порты и
> оставить к примеру 21,80-83,53,61,465 ... так же как пробросить к
> примеру 21 порт на 192.168.1.199, спс
> ps так же кериое сейчас автоматически переключает каналы основной и резеврный, как
> то это можно в freebsd ?М-да, повезло вам, как утопленнику. Но не отчаивайтесь. ;)
В общем-то - если, конечно, начальство не будет упираться - можно попробовать
специализированные дистрибутивы на базе FreeBSD. Например, PFSense или отечественный
"ИКС". Один системный администратор из моего отдела, ни разу до этого в глаза не
видевший юниксов, без посторонней помощи и подсказки установил PFSense и настроил на
нем DHCP-сервер, балансировку нагрузки между двумя провайдерами, проброс нужных портов
в локальную сеть, а с моей подсказкой - еще и IPSEC. Он даже умудрился установить
Samba и настроить общий каталог, но потом все-таки понял, что эта штука на шлюзе - просто
архитектурное излишество. :)Думаю, вам тоже не составит особого труда освоить PFSense или "ИКС".