форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться (+)"
Сообщение от Alex on 10-Мрт-03, 23:41  (MSK)
Не могу понять, что случилось с роутером: перестал пускать народ в интернет по всем портам, кроме 80-го (http). Началась такая ерунда пару недель назад, хотя до этого все работало месяца три или четыре просто идеально. В конфигах роутера ничего не менялось после установки. C самого роутера в инет можно коннектиться куда угодно и на какие угодно порты, не пускает именно "серую" подсеть за ним... Грешил поначалу на сквид - убрал из автозагрузки, в файрволе 101-ю строку убрал -> ничего не изменилось. Подскажите, в какую сторону копать?... *************  /etc/rc.conf  **************** [15:12]-[/etc]-[mars] # cat /etc/rc.conf defaultrouter="195.239.218.1" font8x14="cp866-8x14" font8x16="cp866b-8x16" font8x8="cp866-8x8" scrnmap="koi8-r2cp866" keymap="ru.koi8-r" keyrate="fast" keychange="61 ^[[K" gateway_enable="YES" hostname="mars.domain.ru" ifconfig_xl0="inet 192.168.128.33  netmask 255.255.255.0" # -- sysinstall generated deltas -- # Sun Dec 15 13:53:12 2002 ifconfig_rl0="inet 195.239.218.77 netmask 255.255.255.0" inetd_enable="NO" kern_securelevel_enable="NO" local_startup="/usr/local/etc/rc.d" mousechar_start="3" nfs_reserved_port_only="YES" #sshd_enable="YES" #sshd_program="/usr/local/sbin/sshd" usbd_enable="NO" #named_enable="YES" #named_program="/usr/local/sbin/named" #named_flags="-c /etc/namedb/named2.conf" firewall_enable="YES" firewall_script="/etc/temp_ipfw.sh" #firewall_type="OPEN" natd_enable="YES" natd_program="/sbin/natd" natd_interface="rl0" natd_flags="-dynamic -unregistered_only" tcp_restrict_rst="YES" #tcp_drop_synfin="YES" syslogd_enable="YES" syslogd_flags="-vv -l /chroot/named/logs" sendmail_enable="NONE" sendmail_flags="-bd" sendmail_outbound_enable="NO" sendmail_submit_enable="NO" sendmail_msp_queue_enable="NO" ### Network Time Services options: ### timed_enable="NO"       # Run the time daemon (or NO) timed_flags=""          # Flags to timed (if enabled) ntpdate_enable="NO"     # Run ntpdate to sync time on boot (or NO) ntpdate_program="ntpdate"       # path to ntpdate, if you want a different one ntpdate_flags=""        # Flags to ntpdate (if enabled) xntpd_enable="YES"      # Run ntpd Network Time Protocol (or NO) xntpd_program="ntpd"    # path to ntpd, if you want a different one xntpd_flags="-A -l /var/log/ntpd.log -p /var/run/ntpd.pid"      # Flags to ntpd (if enabled) ******************************************** *************  ifconfig -a  **************** [15:11]-[/etc]-[mars] # ifconfig -a rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 195.239.218.77 netmask 0xffffff00 broadcast 195.239.218.255         ether 00:02:44:34:6c:c8         media: Ethernet autoselect (10baseTX)         status: active xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 192.168.128.33 netmask 0xffffff00 broadcast 192.168.128.255         ether 00:60:08:46:7e:5f         media: Ethernet autoselect (100baseTX)         status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet 127.0.0.1 netmask 0xff000000 ******************************************* *************  /etc/natd.conf  **************** [15:13]-[/etc]-[mars] # cat /etc/natd.conf log no verbose no deny_incoming no log_denied yes log_facility security use_sockets yes same_ports yes *********************************************** *************  /etc/temp_ipfw.sh  **************** [15:14]-[/etc]-[mars] # cat /etc/temp_ipfw.sh #!/bin/sh fwcmd="/sbin/ipfw" external_interface="rl0"                # Internet interface lan_diapasone="192.168.128.0/24" ${fwcmd} add 100 divert natd all from any to any in via $external_interface ${fwcmd} add 101 fwd 127.0.0.1,3128 tcp from $lan_diapasone to any 80 ${fwcmd} add 110 allow all from any to any ********************************************** *************  ipfw show  **************** [15:19]-[/etc]-[mars] # ipfw show 00100     0       0 divert 8668 ip from any to any in recv rl0 00101     4     352 fwd 127.0.0.1,3128 tcp from 192.168.128.0/24 to any 80 00110 78946 8125502 allow ip from any to any 65535     0       0 deny ip from any to any ***************************************** Кусок squid.conf (фильтров и ограничений в сквиде никаких не заведено). acl our_network src 192.168.128.0/24 http_access allow our_network # And finally deny all other access to this proxy http_access deny all ****************************************** Вот, в общем, и все... Просто не понимаю из-за чего это могло произойти :(
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Помогите разобраться (+)"
Сообщение от Bart Simpson on 11-Мрт-03, 07:14  (MSK)
Барнаул?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Помогите разобраться (+)"
	Сообщение от СергейКа on 11-Мрт-03, 11:11  (MSK)
	Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о нем ), а вообще лучше сделать форвардом, ищи на форуме по ключевому слову firewall
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Помогите разобраться (+)"
	Сообщение от Alex on 11-Мрт-03, 17:13  (MSK)
	Bart Simpson: Нет. СергейКа: >Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о >нем ), а вообще лучше сделать форвардом, ищи на форуме по >ключевому слову firewall "в natd нет упоминания" - это в natd.conf ? или в man natd? В man 8 natd есть строка примера - /sbin/ipfw add divert natd all from any to any via ed0, по ней все и делалось. В /etc/services строка 8668 раскомментарена: [17:12]-[/chroot]-[mars] # cat /etc/services | grep natd natd            8668/divert # Network Address Translation
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Помогите разобраться (+)"
	Сообщение от denb on 11-Мрт-03, 17:42  (MSK)
	>Bart Simpson: >Нет. > >СергейКа: >>Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о >>нем ), а вообще лучше сделать форвардом, ищи на форуме по >>ключевому слову firewall > >"в natd нет упоминания" - это в natd.conf ? или в man >natd? >В man 8 natd есть строка примера - /sbin/ipfw add divert natd >all from any to any via ed0, по ней все и >делалось. > >В /etc/services строка 8668 раскомментарена: > >[17:12]-[/chroot]-[mars] # cat /etc/services | grep natd >natd             >8668/divert # Network Address Translation Обновляли ли Вы исходники системы? Какая у Вас версия ОС?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Помогите разобраться (+)"
	Сообщение от СергейКа on 11-Мрт-03, 18:00  (MSK)
	Я же говорю - ИЩИ ПО ПОИСКУ - FIREWALL, умные люди говорят, что вместо диверта надо использовать форвард! Ссылки? Пожалуста: Ключевые слова: firewall, ipfw, squid, freebsd,  (найти похожие документы) _ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _ From : Beso Tsitelashvily                  2:5020/400      18 Nov 99  12:00:14 Subj : Как повернуть все http-запросы на Squid ________________________________________________________________________________ From: "Beso Tsitelashvily" <beso@caucasus.net> "Denis Bakhtin" <admin@ultramed-m.ru> wrote in message news:80s2hj$ac3$1@news2.aha.ru... > Как повернуть все http-запросы на Squid ? > Пишу ipfw add 00210 divert 8080 any to any 80 - не работает. > У меня FreeBSD 2.2.6, natd родной: > natd -s -p  8668 -u -m -n de0 > ipfw add 00200 divert  8668 ip from any to any via de0 ipfw add 300 fwd 127.0.0.1,80 tcp from any to ${proxy&www server} 80 # приходящие на мой апач пусть идут на мой апач! ipfw add 400 fwd 127.0.0.1,3128 tcp from any to any 80 # а не на мой апач(значит на чужой!) только через мой скуид! --- ifmail v.2.14dev3 * Origin: Public Gamma NNTP server Moscow Russia (2:5020/400) Ключевые слова: freebsd, ipfw, forward, squid, firewall,  (найти похожие документы) _ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _ From : Alexander Kotelnikov                2:5020/400      04 Nov 99  12:01:28 Subj : [FreeBSD] Пpинудительное завоpачивание пакетов с 80 на 3128 ________________________________________________________________________________ From: "Alexander Kotelnikov" <alex@mi.msu.su> Andy Bogdanov <Andy.Bogdanov@f7.n5008.z2.fidonet.org> сообщил в новостях следующее:941731199@f7.n5008.z2.ftn... > даю команду > ipfw add divert 3128 tcp from any to any 80 via xl* > вроде как и не ругается - но и подсоединиться клиенту не удается на 80 порт... > почему? что я неправильно делаю? > 2.2.8 - если это что-то дает... Хе! Два дня назад я на эти грабли наступал в relcom.fido.ru.unix.bsd (в эту эху почему-то не проходили сообщения) Hадо пользовать не divert, а  forward ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80 И добавь сквиду в конфиг: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Реально для работы нужна последняя строка, но первые три тоже не лишние :) -- Alexander Kotelnikov     <alex@mi.msu.su>
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.