forum.opennet.ru - "Forward" (17)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Forward"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Forward"
Сообщение от ANoTher_ONe on 27-Янв-04, 11:10 (MSK)
Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к прову и забирать почту по поп3. Какие правила надо добавить?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Forward, alk, 12:01 , 27-Янв-04, (1)
- Forward, ANoTher_ONe, 12:09 , 27-Янв-04, (2)
  - Forward, alk, 12:17 , 27-Янв-04, (3)
    - Forward, ANoTher_ONe, 12:47 , 27-Янв-04, (4)
      - Forward, alk, 13:29 , 27-Янв-04, (5)
        
        Forward, ANoTher_ONe, 13:42 , 27-Янв-04, (6)
        
        Forward, alk, 13:59 , 27-Янв-04, (7)
        
        Forward, ANoTher_ONe, 14:24 , 27-Янв-04, (8)
        
        Forward, alk, 14:56 , 27-Янв-04, (9)
        
        Forward, ANoTher_ONe, 16:31 , 27-Янв-04, (10)
        
        Forward, alk, 16:45 , 27-Янв-04, (11)
        
        Forward, ANoTher_ONe, 18:21 , 30-Янв-04, (12)
        Forward, Yura_hn, 03:19 , 31-Янв-04, (13)
        Forward, ANoTher_ONe, 09:15 , 02-Фев-04, (14)
        Forward, alk, 10:50 , 02-Фев-04, (15)
        Forward, ANoTher_ONe, 12:57 , 02-Фев-04, (16)
        Forward, alk, 13:11 , 02-Фев-04, (17)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Forward"

Сообщение от alk on 27-Янв-04, 12:01  (MSK)

>Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить
>одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к
>прову и забирать почту по поп3.
>Какие правила надо добавить?
${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
Правило вставить между правилами nat если ипользуешь natd

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Forward"

Сообщение от ANoTher_ONe on 27-Янв-04, 12:09  (MSK)

>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>Правило вставить между правилами nat если ипользуешь natd
Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова уходят а назад не возвращаются ... по крайней мере так показывает
ipfw -a list
может ещё что-то нада...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Forward"

Сообщение от alk on 27-Янв-04, 12:17  (MSK)

>
>>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110
>>Правило вставить между правилами nat если ипользуешь natd
>
>Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова
>уходят а назад не возвращаются ... по крайней мере так показывает
>
>ipfw -a list
>может ещё что-то нада...
В логе, что пишет?
Покажи ipfw sh

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Forward"

Сообщение от ANoTher_ONe on 27-Янв-04, 12:47  (MSK)

>В логе, что пишет?
>Покажи ipfw sh

00100      0         0 check-state
00150     15       720 fwd 195.64.225.213 ip from 192168.0.13 to any dst-port 110
00200     12       640 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00210      0         0 reject ip from 192.168.0.0/24 to any in via rl0
00300  30868   3531952 allow ip from any to any via lo0
00310 545219 268770767 allow tcp from me to any via rl0 keep-state
00320   1466     88434 allow icmp from any to any
00330 281592  20421743 allow udp from me to any dst-port 53 keep-state
00340      6       266 allow udp from any to me dst-port 53
00350    216     10368 fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
00360  24605   1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via wb0
00390   2311    693433 allow ip from me to any
00400    650     57380 allow tcp from any to me dst-port 80,443,22

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Forward"

Сообщение от alk on 27-Янв-04, 13:29  (MSK)

>00390   2311    693433 allow ip from me to any
Мудрено сделал
Покажи где NAT и как?
попробуй вместо
>00390   2311    693433 allow ip from me to any
сделать
00390 allow tcp from any to any established

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Forward"

Сообщение от ANoTher_ONe on 27-Янв-04, 13:42  (MSK)

>>00390   2311    693433 allow ip from me to any
>
>Мудрено сделал
>Покажи где NAT и как?
так может что-то типа НАТа добавить?
не подскажешь куда? и как?
>попробуй вместо
>>00390   2311    693433 allow ip from me to any
>сделать
>00390 allow tcp from any to any established

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Forward"

Сообщение от alk on 27-Янв-04, 13:59  (MSK)

>так может что-то типа НАТа добавить?
>не подскажешь куда? и как?
Ни хрена не пойму
Ты пакеты nat's в инет?
rl0 -внешний интерфейс ? 195.64.225.x
wb0 - внутренний инт 192,168,0,0
me=192.168.0.0
Так?
<00360  24605   1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25
<00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
что это за правила?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Forward"

Сообщение от ANoTher_ONe on 27-Янв-04, 14:24  (MSK)

>
>>так может что-то типа НАТа добавить?
>>не подскажешь куда? и как?
>Ни хрена не пойму
>Ты пакеты nat's в инет?
>rl0 -внешний интерфейс ? 195.64.225.x
>wb0 - внутренний инт 192,168,0,0
>me=192.168.0.0
>Так?
да именно
><00360  24605   1025721 allow ip from 192.168.0.0/24 to me
>dst-port 23,25
><00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0
>что это за правила?
ну ладна в первом 25 лишний. но как-то к нему ж подходить нада ... например телнет или ссш...
в общем без этих правил никто никуда не шастает ...
то есть правило вроде бы заворачивающее на сквид есть, но не работает - как бы до сквида не доходит. вааще если можна давайте расчехлимся вместе ... потому что без некоторых правил вааще никто и никуда....

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Forward"

Сообщение от alk on 27-Янв-04, 14:56  (MSK)

Абсолютно рабочий кусок
в данном виде из local все могут ходить куда хотят
из internet open port 53,25
ipfw="/sbin/ipfw -q"
my_net="192.168.0.0/24"
inet=адрес внешнего интерф
${ipfw} -f flush
${ipfw} add allow  all from any to any via lo0
#--Stop private networks RFC.
${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
#--Stop bad icmp ----------------------------------------------
${ipfw} add deny icmp from any to 255.255.255.255 via rl0
${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
хочешь что-нибудь запретить из локала пиши здесь на via wb0
${ipfw} add allow  all from any to any via wb0
#------NAT--------------------------------------------------------
${ipfw} add divert natd ip from ${my_net} to any out via rl0
${ipfw} add divert natd ip from any to ${inet} in via rl0
${ipfw} add allow tcp from any to any established
${ipfw} add allow all  from any to any out xmit rl0
#-----DNS SMTP --------------------------------------------------
${ipfw} add allow udp from any  53,25 to any
#----VPN Microsoft 47 gre-----------------------------------------------
${ipfw} add allow 47 from any to any
#-----ICMP--------------------------------------------------------
разрешить или фильтровать
${ipfw} add deny  log icmp from any to any
${ipfw} add deny  log tcp from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Forward"

Сообщение от ANoTher_ONe on 27-Янв-04, 16:31  (MSK)

>Абсолютно рабочий кусок
>в данном виде из local все могут ходить куда хотят
а если тока через сквид? что значит куда хотят? это как-то мониториться?
>из internet open port 53,25
>
>ipfw="/sbin/ipfw -q"
>
>my_net="192.168.0.0/24"
>inet=адрес внешнего интерф
>${ipfw} -f flush
>
>${ipfw} add allow  all from any to any via lo0
>#--Stop private networks RFC.
>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>#--Stop bad icmp ----------------------------------------------
>${ipfw} add deny icmp from any to 255.255.255.255 via rl0
ну до этого момента всё понятно
>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
это форвард на сквид ?
>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>
>${ipfw} add allow  all from any to any via wb0
этого вааще не понял ? что б все шастали во внешнем мире?

>#------NAT--------------------------------------------------------
>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>
>${ipfw} add divert natd ip from any to ${inet} in via rl0
не понял что и куда натиться? 2ая строчка ?

>
>${ipfw} add allow tcp from any to any established
>${ipfw} add allow all  from any to any out xmit rl0
>
что такое xmit ?

>#-----DNS SMTP --------------------------------------------------
>${ipfw} add allow udp from any  53,25 to any
>#----VPN Microsoft 47 gre-----------------------------------------------
>${ipfw} add allow 47 from any to any
>#-----ICMP--------------------------------------------------------
>разрешить или фильтровать
>${ipfw} add deny  log icmp from any to any
>${ipfw} add deny  log tcp from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Forward"

Сообщение от alk on 27-Янв-04, 16:45  (MSK)

>>Абсолютно рабочий кусок
>>в данном виде из local все могут ходить куда хотят
>а если тока через сквид? что значит куда хотят? это как-то мониториться?
80 пойдет через squid
>>из internet open port 53,25
>>
>>ipfw="/sbin/ipfw -q"
>>
>>my_net="192.168.0.0/24"
>>inet=адрес внешнего интерф
>>${ipfw} -f flush
>>
>>${ipfw} add allow  all from any to any via lo0
>>#--Stop private networks RFC.
>>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet}
>>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet}
>>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet}
>>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet}
>>#--Stop bad icmp ----------------------------------------------
>>${ipfw} add deny icmp from any to 255.255.255.255 via rl0
>
>ну до этого момента всё понятно
>>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443
>это форвард на сквид ?
да
>>хочешь что-нибудь запретить из локала пиши здесь на via wb0
>>
>
>>${ipfw} add allow  all from any to any via wb0
>этого вааще не понял ? что б все шастали во внешнем мире?
я так понял что wb0 это внутренний интерф
если нет, пропиши его здесь
>
>
>>#------NAT--------------------------------------------------------
>>${ipfw} add divert natd ip from ${my_net} to any out via rl0
>>
>>${ipfw} add divert natd ip from any to ${inet} in via rl0
>
>не понял что и куда натиться? 2ая строчка ?
rl0 -смотрит в инет
2ая строчка пришедшие с инета пакеты на via rl0 -обратный divert
все рабочее!
>
>>
>>${ipfw} add allow tcp from any to any established
>>${ipfw} add allow all  from any to any out xmit rl0
>>
>что такое xmit ?
исходящий пакет, отправленный rl0 интерфейсом
почитай http://www.sergeyka.h10.ru/fw_io.html
>
>
>>#-----DNS SMTP --------------------------------------------------
>>${ipfw} add allow udp from any  53,25 to any
>>#----VPN Microsoft 47 gre-----------------------------------------------
>>${ipfw} add allow 47 from any to any
>>#-----ICMP--------------------------------------------------------
>>разрешить или фильтровать
>>${ipfw} add deny  log icmp from any to any
>>${ipfw} add deny  log tcp from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Forward"

Сообщение от ANoTher_ONe on 30-Янв-04, 18:21  (MSK)

Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси ...
На Рop3 я никак подключиться к прову не могу ...
как сделать маппинг или редирект порта ?
нужно ли оно в даном случае ???

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Forward"

Сообщение от Yura_hn on 31-Янв-04, 03:19  (MSK)

>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???
А как ты вообще себе это представляешь ??? Народ вы, что думать разучились ??? У него же с одной стороны fake ip с другой реальный, через прокси маскарадинг оно конечно будет работать, а без нужно что бы пров прописал роутинг на твою локалку у себя иначе никак (я бы такого не делал на месте прова).

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Forward"

Сообщение от ANoTher_ONe on 02-Фев-04, 09:15  (MSK)

>А как ты вообще себе это представляешь ??? Народ вы, что думать
>разучились ??? У него же с одной стороны fake ip с
>другой реальный, через прокси маскарадинг оно конечно будет работать, а без
>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).
Представляю себе это что возможно такое так как на данный момент имею циску из-за которой таким образом выгребаю почту ... на циске что-то натиться... вот меня как бы и интересует возможно ли такое на ФриБСД сделать ... судя по всему можно ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Forward"

Сообщение от alk on 02-Фев-04, 10:50  (MSK)

>нужно что бы пров прописал роутинг на твою локалку у себя
>иначе никак (я бы такого не делал на месте прова).
Почему ты бы не стал прописывать сетку?
Объясни если не трудно

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Forward"

Сообщение от ANoTher_ONe on 02-Фев-04, 12:57  (MSK)

>
>>нужно что бы пров прописал роутинг на твою локалку у себя
>>иначе никак (я бы такого не делал на месте прова).
>
>Почему ты бы не стал прописывать сетку?
>Объясни если не трудно
при чём тут моя локалка к прову??? прову в этом деле вааще даже знать особо ничё не надо ... прописать прову такое просто не имеет смысла ... так как у него получится что локалки живут в нете с реальными айпишниками - типа абсурд ...
здесь просто нужно правильная подборка ната и ипфв ... как бы проблему знаю справиться не могу ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Forward"

Сообщение от alk on 02-Фев-04, 13:11  (MSK)

>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси
это как? 110 идет через что?
на данный момент ipfw sh покажи
>...
>На Рop3 я никак подключиться к прову не могу ...
>как сделать маппинг или редирект порта ?
>нужно ли оно в даном случае ???

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Forward"
Сообщение от alk on 27-Янв-04, 12:01 (MSK)
>Подскажите плиз с фаерволом на фре 5.1 уже просто задалбался... как разрешить >одной машине (например 192.168.0.13) из сетки проходить напрямую, мимо фаервола, к >прову и забирать почту по поп3. >Какие правила надо добавить? ${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110 Правило вставить между правилами nat если ипользуешь natd
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Forward"
	Сообщение от ANoTher_ONe on 27-Янв-04, 12:09 (MSK)
	>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110 >Правило вставить между правилами nat если ипользуешь natd Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова уходят а назад не возвращаются ... по крайней мере так показывает ipfw -a list может ещё что-то нада...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Forward"
	Сообщение от alk on 27-Янв-04, 12:17 (MSK)
	> >>${ipfw} add fwd ${ip_prov} from 192.168.0.13 to any 110 >>Правило вставить между правилами nat если ипользуешь natd > >Да есть добавил такое. но впечатленние создаётся что пакеты в сторону прова >уходят а назад не возвращаются ... по крайней мере так показывает > >ipfw -a list >может ещё что-то нада... В логе, что пишет? Покажи ipfw sh
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Forward"
	Сообщение от ANoTher_ONe on 27-Янв-04, 12:47 (MSK)
	>В логе, что пишет? >Покажи ipfw sh 00100 0 0 check-state 00150 15 720 fwd 195.64.225.213 ip from 192168.0.13 to any dst-port 110 00200 12 640 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00210 0 0 reject ip from 192.168.0.0/24 to any in via rl0 00300 30868 3531952 allow ip from any to any via lo0 00310 545219 268770767 allow tcp from me to any via rl0 keep-state 00320 1466 88434 allow icmp from any to any 00330 281592 20421743 allow udp from me to any dst-port 53 keep-state 00340 6 266 allow udp from any to me dst-port 53 00350 216 10368 fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443 00360 24605 1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25 00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via wb0 00390 2311 693433 allow ip from me to any 00400 650 57380 allow tcp from any to me dst-port 80,443,22
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Forward"
	Сообщение от alk on 27-Янв-04, 13:29 (MSK)
	>00390 2311 693433 allow ip from me to any Мудрено сделал Покажи где NAT и как? попробуй вместо >00390 2311 693433 allow ip from me to any сделать 00390 allow tcp from any to any established
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Forward"
	Сообщение от ANoTher_ONe on 27-Янв-04, 13:42 (MSK)
	>>00390 2311 693433 allow ip from me to any > >Мудрено сделал >Покажи где NAT и как? так может что-то типа НАТа добавить? не подскажешь куда? и как? >попробуй вместо >>00390 2311 693433 allow ip from me to any >сделать >00390 allow tcp from any to any established
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Forward"
	Сообщение от alk on 27-Янв-04, 13:59 (MSK)
	>так может что-то типа НАТа добавить? >не подскажешь куда? и как? Ни хрена не пойму Ты пакеты nat's в инет? rl0 -внешний интерфейс ? 195.64.225.x wb0 - внутренний инт 192,168,0,0 me=192.168.0.0 Так? <00360 24605 1025721 allow ip from 192.168.0.0/24 to me dst-port 23,25 <00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0 что это за правила?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Forward"
	Сообщение от ANoTher_ONe on 27-Янв-04, 14:24 (MSK)
	> >>так может что-то типа НАТа добавить? >>не подскажешь куда? и как? >Ни хрена не пойму >Ты пакеты nat's в инет? >rl0 -внешний интерфейс ? 195.64.225.x >wb0 - внутренний инт 192,168,0,0 >me=192.168.0.0 >Так? да именно ><00360 24605 1025721 allow ip from 192.168.0.0/24 to me >dst-port 23,25 ><00370 581568 282458644 allow ip from 192.168.0/24 to 192.168.0.0/24 via <wb0 >что это за правила? ну ладна в первом 25 лишний. но как-то к нему ж подходить нада ... например телнет или ссш... в общем без этих правил никто никуда не шастает ... то есть правило вроде бы заворачивающее на сквид есть, но не работает - как бы до сквида не доходит. вааще если можна давайте расчехлимся вместе ... потому что без некоторых правил вааще никто и никуда....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Forward"
	Сообщение от alk on 27-Янв-04, 14:56 (MSK)
	Абсолютно рабочий кусок в данном виде из local все могут ходить куда хотят из internet open port 53,25 ipfw="/sbin/ipfw -q" my_net="192.168.0.0/24" inet=адрес внешнего интерф ${ipfw} -f flush ${ipfw} add allow all from any to any via lo0 #--Stop private networks RFC. ${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet} ${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet} ${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet} ${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet} #--Stop bad icmp ---------------------------------------------- ${ipfw} add deny icmp from any to 255.255.255.255 via rl0 ${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443 хочешь что-нибудь запретить из локала пиши здесь на via wb0 ${ipfw} add allow all from any to any via wb0 #------NAT-------------------------------------------------------- ${ipfw} add divert natd ip from ${my_net} to any out via rl0 ${ipfw} add divert natd ip from any to ${inet} in via rl0 ${ipfw} add allow tcp from any to any established ${ipfw} add allow all from any to any out xmit rl0 #-----DNS SMTP -------------------------------------------------- ${ipfw} add allow udp from any 53,25 to any #----VPN Microsoft 47 gre----------------------------------------------- ${ipfw} add allow 47 from any to any #-----ICMP-------------------------------------------------------- разрешить или фильтровать ${ipfw} add deny log icmp from any to any ${ipfw} add deny log tcp from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Forward"
	Сообщение от ANoTher_ONe on 27-Янв-04, 16:31 (MSK)
	>Абсолютно рабочий кусок >в данном виде из local все могут ходить куда хотят а если тока через сквид? что значит куда хотят? это как-то мониториться? >из internet open port 53,25 > >ipfw="/sbin/ipfw -q" > >my_net="192.168.0.0/24" >inet=адрес внешнего интерф >${ipfw} -f flush > >${ipfw} add allow all from any to any via lo0 >#--Stop private networks RFC. >${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet} >${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet} >${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet} >${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet} >#--Stop bad icmp ---------------------------------------------- >${ipfw} add deny icmp from any to 255.255.255.255 via rl0 ну до этого момента всё понятно >${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443 это форвард на сквид ? >хочешь что-нибудь запретить из локала пиши здесь на via wb0 > >${ipfw} add allow all from any to any via wb0 этого вааще не понял ? что б все шастали во внешнем мире? >#------NAT-------------------------------------------------------- >${ipfw} add divert natd ip from ${my_net} to any out via rl0 > >${ipfw} add divert natd ip from any to ${inet} in via rl0 не понял что и куда натиться? 2ая строчка ? > >${ipfw} add allow tcp from any to any established >${ipfw} add allow all from any to any out xmit rl0 > что такое xmit ? >#-----DNS SMTP -------------------------------------------------- >${ipfw} add allow udp from any 53,25 to any >#----VPN Microsoft 47 gre----------------------------------------------- >${ipfw} add allow 47 from any to any >#-----ICMP-------------------------------------------------------- >разрешить или фильтровать >${ipfw} add deny log icmp from any to any >${ipfw} add deny log tcp from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Forward"
	Сообщение от alk on 27-Янв-04, 16:45 (MSK)
	>>Абсолютно рабочий кусок >>в данном виде из local все могут ходить куда хотят >а если тока через сквид? что значит куда хотят? это как-то мониториться? 80 пойдет через squid >>из internet open port 53,25 >> >>ipfw="/sbin/ipfw -q" >> >>my_net="192.168.0.0/24" >>inet=адрес внешнего интерф >>${ipfw} -f flush >> >>${ipfw} add allow all from any to any via lo0 >>#--Stop private networks RFC. >>${ipfw} add deny all from 192.168.0.0/16 to any in via ${inet} >>${ipfw} add deny all from 172.16.0.0/12 to any in via ${inet} >>${ipfw} add deny all from 10.0.0.0/8 to any in via ${inet} >>${ipfw} add deny all from 192.168.0.0/24 to any in via ${inet} >>#--Stop bad icmp ---------------------------------------------- >>${ipfw} add deny icmp from any to 255.255.255.255 via rl0 > >ну до этого момента всё понятно >>${ipfw} add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any dst-port 80,22,443 >это форвард на сквид ? да >>хочешь что-нибудь запретить из локала пиши здесь на via wb0 >> > >>${ipfw} add allow all from any to any via wb0 >этого вааще не понял ? что б все шастали во внешнем мире? я так понял что wb0 это внутренний интерф если нет, пропиши его здесь > > >>#------NAT-------------------------------------------------------- >>${ipfw} add divert natd ip from ${my_net} to any out via rl0 >> >>${ipfw} add divert natd ip from any to ${inet} in via rl0 > >не понял что и куда натиться? 2ая строчка ? rl0 -смотрит в инет 2ая строчка пришедшие с инета пакеты на via rl0 -обратный divert все рабочее! > >> >>${ipfw} add allow tcp from any to any established >>${ipfw} add allow all from any to any out xmit rl0 >> >что такое xmit ? исходящий пакет, отправленный rl0 интерфейсом почитай http://www.sergeyka.h10.ru/fw_io.html > > >>#-----DNS SMTP -------------------------------------------------- >>${ipfw} add allow udp from any 53,25 to any >>#----VPN Microsoft 47 gre----------------------------------------------- >>${ipfw} add allow 47 from any to any >>#-----ICMP-------------------------------------------------------- >>разрешить или фильтровать >>${ipfw} add deny log icmp from any to any >>${ipfw} add deny log tcp from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Forward"
	Сообщение от ANoTher_ONe on 30-Янв-04, 18:21 (MSK)
	Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси ... На Рop3 я никак подключиться к прову не могу ... как сделать маппинг или редирект порта ? нужно ли оно в даном случае ???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Forward"
	Сообщение от Yura_hn on 31-Янв-04, 03:19 (MSK)
	>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси >... >На Рop3 я никак подключиться к прову не могу ... >как сделать маппинг или редирект порта ? >нужно ли оно в даном случае ??? А как ты вообще себе это представляешь ??? Народ вы, что думать разучились ??? У него же с одной стороны fake ip с другой реальный, через прокси маскарадинг оно конечно будет работать, а без нужно что бы пров прописал роутинг на твою локалку у себя иначе никак (я бы такого не делал на месте прова).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Forward"
	Сообщение от ANoTher_ONe on 02-Фев-04, 09:15 (MSK)
	>А как ты вообще себе это представляешь ??? Народ вы, что думать >разучились ??? У него же с одной стороны fake ip с >другой реальный, через прокси маскарадинг оно конечно будет работать, а без >нужно что бы пров прописал роутинг на твою локалку у себя >иначе никак (я бы такого не делал на месте прова). Представляю себе это что возможно такое так как на данный момент имею циску из-за которой таким образом выгребаю почту ... на циске что-то натиться... вот меня как бы и интересует возможно ли такое на ФриБСД сделать ... судя по всему можно ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "Forward"
	Сообщение от alk on 02-Фев-04, 10:50 (MSK)
	>нужно что бы пров прописал роутинг на твою локалку у себя >иначе никак (я бы такого не делал на месте прова). Почему ты бы не стал прописывать сетку? Объясни если не трудно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "Forward"
	Сообщение от ANoTher_ONe on 02-Фев-04, 12:57 (MSK)
	> >>нужно что бы пров прописал роутинг на твою локалку у себя >>иначе никак (я бы такого не делал на месте прова). > >Почему ты бы не стал прописывать сетку? >Объясни если не трудно при чём тут моя локалка к прову??? прову в этом деле вааще даже знать особо ничё не надо ... прописать прову такое просто не имеет смысла ... так как у него получится что локалки живут в нете с реальными айпишниками - типа абсурд ... здесь просто нужно правильная подборка ната и ипфв ... как бы проблему знаю справиться не могу ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "Forward"
	Сообщение от alk on 02-Фев-04, 13:11 (MSK)
	>Согласен кусок рабочий, но всё во внешния мир идёт тока через прокси это как? 110 идет через что? на данный момент ipfw sh покажи >... >На Рop3 я никак подключиться к прову не могу ... >как сделать маппинг или редирект порта ? >нужно ли оно в даном случае ???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх