форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"не могу настроить  firewall для VPN-соединения"
Сообщение от vlad11 (ok) on 01-Дек-04, 14:23  (MSK)
В тех-поддержке провайдера советует такие правила: add allow fwd 10.0.7.1 all from any to 10.128.4.1 # point on the router add allow all from any to any Но! между ними нельзя вставлять свое правило, ибо pptp соединения не подымается :-(( Вписываю дополнительные три правила add allow fwd 10.0.7.1 all from any to 10.128.4.1 add allow gre from 10.128.4.1 to 10.0.7.75 add allow tcp from 10.128.4.1 to 10.0.7.75 1723 add allow tcp from 10.0.7.75 1723 to 10.128.4.1 add allow all from any to any Но основная часть пакетов разруливает последнее правило :-((( система FreeBSD 4.9  собрана со всеми опциями firewall'a и форвардинга...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "не могу настроить  firewall для VPN-соединения"
Сообщение от alk (??) on 01-Дек-04, 15:04  (MSK)
add allow log all from any to any потом лезем в лог и смотрим откуда куда и как пакеты лезут
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "не могу настроить  firewall для VPN-соединения"
Сообщение от Grayich (??) on 01-Дек-04, 15:07  (MSK)
и еще >add allow gre from 10.128.4.1 to 10.0.7.75 надо так писать, так как автоматом gre в №47 не преобразуется... add allow 47 from 10.128.4.1 to 10.0.7.75
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "не могу настроить  firewall для VPN-соединения"
	Сообщение от alk (??) on 01-Дек-04, 15:17  (MSK)
	>и еще >>add allow gre from 10.128.4.1 to 10.0.7.75 > >надо так писать, так как автоматом gre в №47 не преобразуется... >add allow 47 from 10.128.4.1 to 10.0.7.75 > не факт у меня написано именно gre и правило в ipfw так и выглядит allow gre from any to any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "не могу настроить  firewall для VPN-соединения"
	Сообщение от Grayich (??) on 01-Дек-04, 15:24  (MSK)
	>не факт >у меня написано именно gre и правило >в ipfw так и выглядит allow gre from any to any странно, у меня gre прописывалось, и при ipfw show  так и выдавало gre и при этом неработало :)  пока не воспользовался /etc/protocols  и непоменял на числовое значение.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "не могу настроить  firewall для VPN-соединения"
	Сообщение от alk (??) on 01-Дек-04, 15:31  (MSK)
	>странно, у меня gre прописывалось, и при ipfw show  так и >выдавало gre и при этом неработало :)  пока не воспользовался >/etc/protocols  и непоменял на числовое значение. В этом и суть если в /etc/protocols  нет числового соответствия то нас ожидает легкий облом
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "не могу настроить  firewall для VPN-соединения"
	Сообщение от Grayich (??) on 01-Дек-04, 15:35  (MSK)
	>В этом и суть >если в /etc/protocols  нет числового соответствия >то нас ожидает легкий облом в том то и прикол что соответствие было, а облом всеравно произошел :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "не могу настроить  firewall для VPN-соединения"
Сообщение от kir (??) on 01-Дек-04, 17:04  (MSK)
что попало... можно еще раз и по сути? что есть - что нужно сделать - и что не получаеться
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "не могу настроить  firewall для VPN-соединения"
	Сообщение от vlad11 (ok) on 01-Дек-04, 17:34  (MSK)
	ПРи таких правилах работает: add allow fwd 10.0.7.1 all from any to 10.128.4.1 add allow all from any to any При таких правилах НЕ работает: add allow fwd 10.0.7.1 all from any to 10.128.4.1 #add allow gre from 10.128.4.1 to 10.0.7.75 add allow 47 from 10.128.4.1 to 10.0.7.75 add allow tcp from 10.128.4.1 to 10.0.7.75 1723 add allow tcp from 10.0.7.75 1723 to 10.128.4.1 add allow all from any to any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "не могу настроить  firewall для VPN-соединения"
	Сообщение от vlad11 (ok) on 02-Дек-04, 00:25  (MSK)
	>что попало... > > можно еще раз и по сути? > что есть - что нужно сделать - и что не получаеться > otrada# ipfw show 00100    0       0 divert 8668 ip from any to 10.0.0.0/24 via vr0 00200   15     756 allow icmp from 10.0.0.0/24 to any 00300    0       0 allow ip from 62.16.0.zzz to any via vr0 00400    0       0 allow ip from any to 62.16.0.zzz via vr0 00500 1762  266929 fwd 10.0.7.1 ip from any to 10.128.4.1 via vr0 00600 1459  659416 allow gre from 10.128.4.1 to 10.0.7.75 00700    0       0 allow tcp from 10.128.4.1 to 10.0.7.75 1723 00800   20    1252 allow tcp from 10.128.4.1 1723 to 10.0.7.75 00900    0       0 allow tcp from any to any 22,23 via vr0 01000    0       0 allow tcp from any 22,23 to any via vr0 01100    0       0 allow tcp from any to any 20,21 via vr0 01200    0       0 allow tcp from any 20,21 to any via vr0 01300    0       0 allow tcp from any to any 25 via vr0 01400    0       0 allow tcp from any 25 to any via vr0 01500   44    2874 allow udp from any to any 53 via vr0 01600   21    2659 allow udp from any 53 to any via vr0 01700    3     132 allow tcp from any to any 80 via vr0 01800    0       0 allow tcp from any 80 to any via vr0 01900    0       0 allow tcp from any to any 110 via vr0 02000    0       0 allow tcp from any 110 to any via vr0 02100    0       0 allow tcp from any to any 119 via vr0 02200    0       0 allow tcp from any 119 to any via vr0 02300    0       0 allow tcp from any to any 2082,2086,2095 via vr0 02400    0       0 allow tcp from any 2082,2086,2095 to any via vr0 02500    0       0 allow tcp from any to any 5190 via vr0 02600    0       0 allow tcp from any 5190 to any via vr0 02700    0       0 allow tcp from any to any 5500,5501 via vr0 02800    0       0 allow tcp from any 5500,5501 to any via vr0 02900  304   33198 allow ip from any to any via lo0 03000 4368 1101443 allow ip from any to any via rl0 03100    0       0 allow ip from 62.16.0.zzz to any via vr0 03200    0       0 allow ip from any to 62.16.0.zzz via vr0 65535 3080  802520 allow ip from any to any Почему правила 1800-2800 не срабатывают?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "не могу настроить  firewall для VPN-соединения"
Сообщение от Grayich (??) on 02-Дек-04, 12:24  (MSK)
распиши подробнее что куда и зачем ip сервера ip провайдера кто по впн ходит и т.д.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "не могу настроить  firewall для VPN-соединения"
	Сообщение от vlad11 (ok) on 02-Дек-04, 14:51  (MSK)
	>распиши подробнее что куда и зачем >ip сервера >ip провайдера >кто по впн ходит и т.д. Стоит сервер FreeBSD 4.10 воткнуты две сетевухи - vr0 - 10.0.7.75(хотя провайдер раздает адреса через dhcp, но IP один и тот же) - внешняя карточка rl0 - 10.0.0.10/24 - карточка смотрит во внутренюю сетку Модем ZYXEL Omni ADSL Lan воткнут в внешнюю карточку (vr0) и настроен в режим бриджа. Пользователи внутри локальной сетки сидят в диапозоне 10.0.0.0/24 Путь до провайдерского VPN-сервера (10.129.4.1) прописан в rc.conf # Route static_routes="Matrix_FTP" route_Matrix_FTP="10.129.1.2/32 10.0.7.1" route_Matrix_VPN="10.129.4.1/32 10.0.7.1" коннекчусь pptpclient'ом в правилах ipfw.conf разрешаю: add fwd 10.0.7.1 all from any to 10.128.4.1 via vr0 add allow all from any to any (Полный список правил, я указал выше) вот с такими правилами pptpclient соединяется, но машина при этом полностью открыта!!!!!!!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "не могу настроить  firewall для VPN-соединения"
	Сообщение от Grayich (??) on 02-Дек-04, 16:26  (MSK)
	>Путь до провайдерского VPN-сервера (10.129.4.1) прописан в rc.conf > >При таких правилах НЕ работает: > >add allow fwd 10.0.7.1 all from any to 10.128.4.1 >#add allow gre from 10.128.4.1 to 10.0.7.75 >add allow 47 from 10.128.4.1 to 10.0.7.75 >add allow tcp from 10.128.4.1 to 10.0.7.75 1723 >add allow tcp from 10.0.7.75 1723 to 10.128.4.1 >add allow all from any to any если VPN прова 10.129.4.1 то почему в правилах использеутся 10.128.4.1  ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "не могу настроить  firewall для VPN-соединения"
	Сообщение от vlad11 (ok) on 02-Дек-04, 19:25  (MSK)
	>если VPN прова 10.129.4.1 >то почему в правилах использеутся 10.128.4.1  ? Ок, одна ошибка есть. Исправил. Но все по-прежнему, да и эта ошибка не влияла на работу firewall'a. Может быть, все из-за того, что при запуске pptpclient'a у него в опциях стоит запуск NAT?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Вопрос решен"
	Сообщение от vlad11 (ok) on 03-Дек-04, 01:32  (MSK)
	ADSL modem создавал соединение tun0, через которое шел весь траффик. Прошу прощения за беспокойство.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.