Спасибо за развернутый ответ! Правда, пока почта не пошла, но уже есть с чем работать. Вот мой обновленный файерволл, результат ipfw show c заменой переменными: 00005 10884 8742145 divert 8668 ip from any to $wanip in via em0 00006 44 2526 divert 8668 ip from $lannet to any out via em0 00007 0 0 allow ip from any 25,110 to $lannet 00008 0 0 allow tcp from $lannet to any dst-port 25,110 via em1 setup 00010 23325 11640333 allow ip from any to any via em1 00011 0 0 allow ip from $lannet to any dst-port 1025,1110 00012 0 0 allow tcp from any to $wanip dst-port 22 00020 18 2116 allow ip from any to any via lo0 00030 0 0 deny ip from any to 127.0.0.0/8 00040 0 0 deny ip from 127.0.0.0/8 to any 00050 0 0 fwd 127.0.0.1,3129 tcp from $lannet to any dst-port 20,21,2121,80,8080,8100,443,5190 out via em0 00070 0 0 check-state 00105 30 2280 skipto 400 udp from any to any dst-port 123 out via em0 keep-state 00106 0 0 skipto 400 udp from 10.73.200.38 to any dst-port 55777 out via em0 setup keep-state 00107 0 0 skipto 400 udp from any to 89.239.133.23 dst-port 4433,4440,7500,10229 out via em0 setup keep-state 00110 939 96848 skipto 400 udp from any to any dst-port 53 out via em0 keep-state 00111 0 0 skipto 400 tcp from any to any dst-port 53 out via em0 setup keep-state 00140 0 0 skipto 400 ip from $lannet to any dst-port 4899 out via em0 setup keep-state 00150 0 0 skipto 400 ip from $lannet to any dst-port 3389 out via em0 setup keep-state 00190 19820 10195078 skipto 400 ip from $wanip to any out via em0 setup keep-state 00200 1 64 deny ip from 192.168.0.0/16 to any in via em0 00201 0 0 deny ip from 172.16.0.0/12 to any in via em0 00202 0 0 deny ip from 10.0.0.0/8 to any in via em0 00203 0 0 deny ip from 127.0.0.0/8 to any in via em0 00204 0 0 deny ip from 0.0.0.0/8 to any in via em0 00205 0 0 deny ip from 169.254.0.0/16 to any in via em0 00206 0 0 deny ip from 192.0.2.0/24 to any in via em0 00207 0 0 deny ip from 204.152.64.0/23 to any in via em0 00208 0 0 deny ip from 224.0.0.0/3 to any in via em0 00215 0 0 deny tcp from any to any dst-port 113 in via em0 00220 0 0 deny tcp from any to any dst-port 137 in via em0 00221 0 0 deny tcp from any to any dst-port 138 in via em0 00222 0 0 deny tcp from any to any dst-port 139 in via em0 00223 0 0 deny tcp from any to any dst-port 81 in via em0 00310 0 0 allow tcp from any to $wanip dst-port 80 in via em0 setup limit src-addr 2 00350 0 0 allow tcp from any to $wanip dst-port 4899 in via em0 setup limit src-addr 2 00360 63 3180 allow ip from any to any established 00399 22 2560 deny log logamount 100 ip from any to any 00410 20789 10294206 allow ip from any to any 00999 0 0 deny log logamount 100 ip from any to any 65535 0 0 allow ip from any to anyНат прописал в файерволле в начале natd="/sbin/natd" #zapusk natd $natd -a $wanip # В сквиде у меня (комментарии только тут поубирал): # created by SAMS _sams_ 2009-4-2 8:28:1 http_port 10.73.200.1:3128 http_port 3129 transparent cache_mem 256 MB cache_access_log /usr/local/squid/logs/access.log cache_log /usr/local/squid/logs/cache.log cache_store_log /usr/local/squid/logs/store.log ftp_passive on refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl _sams_49a7fc2ec14f3 src "/usr/local/etc/squid/49a7fc2ec14f3.sams" acl _sams_49a7fc2ec14f3_time time MTWHFAS 00:00-23:59 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 443 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 21 # multiling http acl Safe_ports port 20 # multiling http acl CONNECT method CONNECT acl krasnuk src 10.73.200.14 10.73.200.151-10.73.200.153 acl deny_download url_regex -i \.amr \.ogg \.vob acl my_restrict url_regex "/usr/local/etc/squid/restrict/my_host" acl zakupki url_regex "/usr/local/etc/squid/restrict/zakupki" acl banners url_regex "/usr/local/etc/squid/restrict/banners.acl" http_access allow krasnuk http_access allow zakupki http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny my_restrict http_access deny deny_download http_access deny banners # TAG: http_access http_access allow _sams_49a7fc2ec14f3 _sams_49a7fc2ec14f3_time http_access deny all visible_hostname ServerUFSIN error_directory /usr/local/squid/share/errors/Russian-1251 delay_pools 1 delay_class 1 2 delay_access 1 allow _sams_49a7fc2ec14f3 delay_access 1 deny all delay_parameters 1 524288/524288 524288/524288 >в любом случае тебе нужно просматриватй твой ipfw show и анализировать на >каких из твоих правилах у тебя останавливаются пакеты, для теста я >бы вообще убрал все что можно и оставил только необходимое чтобы >попробовать будут ли пахать рпедложенные конструкции, а дальше уже искать какими >твоими правилами оно блокируется и писать список правил корректно, а главное >с пониманием того что ты делаешь. > >да и не видя твоих конфигов правила фаера, сквида и ната тяжело >что либо советовать.
|