https://www.opennet.ru/openforum/vsluhforumID10/3462.html В общем настраиваю IPFW на фришке 6.1 в небольшой локальной сети. Интернет идет через адсл модем, внутренняя сеть 192.168.2.0/24, внешняя сеть 192.168.1.0/30. Тип фаервола: что не разрешено, то запрещено.<br>Столкнулся с такой проблемой: если явно указывать адрес, допустим в правиле 6100, 6200 нужно дать доступ только адресу 192.168.2.10, то правило вступает в силу, но не действует. Работает, только если указать from any to any.<br><br>[code]#!/bin/sh -<br>[Mm][Yy]<br>## variable<br>fwcmd="/sbin/ipfw -q"<br># internet interface<br>oif="rl1"<br>onet="192.168.1.0/30"<br>oip="192.168.1.2"<br># localnet interface<br>iif="rl0"<br>inet="192.168.2.0/24"<br>iip="192.168.2.99"<br># drop old rules<br>${fwcmd} -f flush<br># local trafic<br>${fwcmd} add 50 divert natd ip from any to any via ${oif}<br>${fwcmd} add 100 pass all from any to any via lo0<br>${fwcmd} add 200 deny all from any to 127.0.0.0/8<br>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any<br># ICMP<br>${fwcmd} add 1100 deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br>${fwcmd} add 1200 allow ic https://www.opennet.ru/openforum/vsluhforumID10/3462.html#10 Thu, 03 Apr 2008 18:04:05 GMT Простите, может не в тему, но я ищу для своего форума работающий стабильно хостинг. <br>Вроде Ваш сайт всегда доступен. Если они Вас удовлетворяют, то не дадите ли ссылку на Вашего хостера (мне подойдет и партнерская). <br>Заранее спасибо<br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#9 Wed, 26 Sep 2007 10:35:16 GMT Мысли в слух:<br>пришёл пакет от 192.168.2.х на iif: правило 50 не срабатывает, правило 6100 сработало - пошёл пакет дальше. Проходит через oif: правило 50 сработало - пошёл дальше пакет, как от 192.168.1.2 и благополучно "продолбил" все правила, вплоть до 65535, там и умер. Не так? Вслух думаю просто...<br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#8 Wed, 26 Sep 2007 10:17:39 GMT <br>&gt;&gt;${fwcmd} add 50 divert natd ip from any to any via ${oif} <br><br>Торможу - "via" не дочитал... :(<br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#7 Wed, 26 Sep 2007 10:14:59 GMT &gt;[оверквотинг удален]<br>&gt;oif="rl1" <br>&gt;onet="192.168.1.0/30" <br>&gt;oip="192.168.1.2" <br>&gt;# localnet interface <br>&gt;iif="rl0" <br>&gt;inet="192.168.2.0/24" <br>&gt;iip="192.168.2.99" <br>&gt;${fwcmd} add 50 divert natd ip from any to any via ${oif} <br>&gt;${fwcmd} add 6100 allow tcp from any to any 5190 <br>&gt;${fwcmd} add 6200 allow tcp from any 5190 to any[/code] <br><br>А доберется ли пакет с адресом отправителя 192.168.2.х до правила 6100 после правила 50? Или всё-таки отправителем будет уже 192.168.1.2?<br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#6 Tue, 25 Sep 2007 14:08:44 GMT &gt;&gt;ipfw sh <br>&gt;&gt;счетчики пакетов увеличиваются для таких правил? <br>&gt;<br>&gt;Проверил счетчик, видно, что запрос идет, но ответа нету <br><br>В самом конце правил ipfw<br>${fwcmd} add log deny ip from any to any<br>и смотрите лог.<br><br>Лучше 50 правило слелать после 300:<br><br>${fwcmd} add 400 divert natd ip from any to any via ${oif} <br><br>&gt;... может у меня что-то с адресацией в сети.. незнаю даже что <br>&gt;и думать.. <br><br>:-) . Sorry не телепат.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#5 Tue, 25 Sep 2007 11:27:54 GMT &gt;ipfw sh <br>&gt;счетчики пакетов увеличиваются для таких правил? <br><br>Проверил счетчик, видно, что запрос идет, но ответа нету<br><br><br>&gt;а не пробовали вот так? <br>&gt;${fwcmd} add 55 check-state <br>&gt;........................... <br>&gt;${fwcmd} add 6100 allow tcp from 192.168.2.10 to any 5190 keep-state <br>&gt;правило 6200 при этом не нужно. <br><br>Попробовал, все равно не хочет<br><br><br>... может у меня что-то с адресацией в сети.. незнаю даже что и думать.. <br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#4 Fri, 21 Sep 2007 13:18:02 GMT а не пробовали вот так?<br>${fwcmd} add 55 check-state<br>...........................<br>${fwcmd} add 6100 allow tcp from 192.168.2.10 to any 5190 keep-state<br>правило 6200 при этом не нужно.<br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#3 Thu, 20 Sep 2007 12:42:02 GMT &gt;&gt;А клиент ICQ настроен на порт 5190? <br>&gt;&gt;${fwcmd} add 6300 deny log ip from any to any <br>&gt;<br>&gt;Да, про асю я для примера сказал, любое правило если 'from any' <br>&gt;поменять на конкретный адрес локальной сети не работает, то есть правило <br>&gt;есть в ipfw list, но оно не действует <br><br>ipfw sh <br>счетчики пакетов увеличиваются для таких правил?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3462.html#2 Thu, 20 Sep 2007 09:54:07 GMT &gt;А клиент ICQ настроен на порт 5190? <br>&gt;${fwcmd} add 6300 deny log ip from any to any <br><br>Да, про асю я для примера сказал, любое правило если 'from any' поменять на конкретный адрес локальной сети не работает, то есть правило есть в ipfw list, но оно не действует<br>