Ошибка в правилах ipfw?, !*! alex123, 06-Ноя-08, 02:31  [смотреть все]
Помогите найти ошибку в правила: пакеты наружу идут а обратно --нет :(

Да, я составил слишком мудрёные правила и 90% пакетов через нихне пройдут, правила составленны криво, зато легко ипонятно читаются (надеюсь :))
Хотел чтоб через них проходил фтп и хттп (пусть не все, нохоть стандартные, пусть не все хттп, но фтп то должны!!)

пояснения к правилам: -- внутренняя сеть
rl1 -- интерфейс смотрящий во внутреннюю сеть -- ип внутреннего интерфейса
rl0 -- внешний интерфейс -- ип внешнего интерфейса

компьютеры из внутренней сети должны выходить через НАТ на фтп и хттп во внешнюю сеть
sysctl net.inet.ip.fw.one_pass=0

Я наверно туплю, но уже неоднократно перепроверял правила--ошибки невижу :((

Помогите, пожалуйста,
С уважением, Alex123, правила привожу ниже.

#=====Firewall Configuration

#Rules Begin

#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from ${intnet} to any in via ${outinterface}
# Deny X-scaning
add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 14 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning
add 15 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 16 deny ip from any to any not verrevpath in
add 17 deny ip from ${intnet} to any in via ${outinterface}
add 18 deny ip from ${outhost} to any in via ${intinterface}
# ip-session limit
#add 19 allow ip  from any to any  setup limit src-addr 10
#Deny loop back external acces
#add 20 deny all from any to
#add 21 deny all from to any
#Deny Windows flood
add 24 deny ip from ${intnet} to ${intnet}  135,137-139,445 in via ${intinterface}
add 25 deny ip from any to ${outhost}  135,137-139,445 in via ${outinterface}

add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface}
add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface}

#dynamic on
add 40 check-state

add 50 deny icmp from any to any via ${outinterface}

#from intnet to Global over NAT
add 60 skipto 71 tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 61 skipto 71 udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from Global to intnet over NAT
add 62 skipto 71 tcp from not ${intnet} 20,21,80,8080,443 to ${outhost} via ${outinterface}
add 63 skipto 71 udp from not ${intnet} 20,21 to ${outhost} via ${outinterface}

nat 72 config ip ${outhost} same_ports
add 70 deny all from any to any via ${outinterface}
add 71 nat 72 ip from any to any via ${outinterface}

#from intnet to Global via intinterface
#add 79 allow all from any to any via lo0
add 80 allow tcp from ${intnet} to not ${intnet}  20,21,80,8080,443 keep-state via ${intinterface}
add 81 allow udp from ${intnet} to not ${intnet} 20,21 keep-state via ${intinterface}
#from NAT to Global
add 82 allow tcp from ${outhost} to not ${intnet}  20,21,80,8080,443 keep-state via ${outinterface}
add 83 allow udp from ${outhost} to not ${intnet} 20,21 keep-state via ${outinterface}
#from NAT to intnet
add 84 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${outinterface}
add 85 allow udp from not ${intnet} 20,21 to ${intnet} via ${outinterface}
#from Global to intnet via intinterface
add 86 allow tcp from not ${intnet} 20,21,80,8080,443 to ${intnet} via ${intinterface}
add 87 allow udp from not ${intnet} 20,21 to ${intnet} via ${intinterface}

#Deny any all
add 10000 deny all from any to any via ${outinterface}
add 10001 deny all from any to any via ${intinterface}

#Rules END

