>>Есть Фря 5.2.1 с фаэрволом, локальная сеть и выделена к провайдеру, какое
>>правило надо написать что б дать доступ из локальной сети пинговать
>>тазик провайдера? вот как сейчас настроено
>>ipfw='/sbin/ipfw -q'
>> ournet='192.168.0.0/16'
>> uprefix='192.168.0'
>> oprefix='xxx.xxx.xxx.xxx'
>> ifout='ppp0'
>> ifuser='rl0'
>> ${ipfw} flush
>> ${ipfw} add 50 deny ip log from
>>any to any
>> ${ipfw} add 100 check-state
>> ${ipfw} add 200 deny icmp from any to
>>any in icmptype 5,9,13,14,15,16,17
>> ${ipfw} add 300 allow ip from any to
>>any via lo0
>> ${ipfw} add 310 allow tcp from me to
>>any keep-state via ${ifout}
>> ${ipfw} add 320 allow icmp from any to
>>any
>> ${ipfw} add 330 allow udp from me to
>>any domain keep-state
>> ${ipfw} add 340 allow udp from any to
>>me domain
>> ${ipfw} add 350 allow ip from me to
>>any
>> ${ipfw} add 400 allow tcp from any to
>>me http,https,ssh
>> ${ipfw} add 410 allow tcp from any ${ournet}
>>to me smtp
>> ${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet}
>>to any http out via ${
>>ifout}
>> ${ipfw} add 510 divert natd ip from ${ournet}
>>to any out via ${ifout}
>> #${ipfw} add 520 divert natd ip from ${ournet} to
>>any out via ${ifuser}
>>
>> ${ipfw} add 1002 allow ip from ${uprefix}.2 to
>>any via ${ifuser}
>> ${ipfw} add 1002 allow ip from any to
>>${uprefix}.2 via ${ifuser}
>> ${ipfw} add 1003 allow ip from ${uprefix}.3 to
>>any via ${ifuser}
>> ${ipfw} add 1003 allow ip from any to
>>${uprefix}.3 via ${ifuser}
>> ${ipfw} add 1004 allow ip from ${uprefix}.4 to
>>any via ${ifuser}
>> ${ipfw} add 1004 allow ip from any to
>>${uprefix}.4 via ${ifuser}
>> ${ipfw} add 1005 allow ip from ${uprefix}.5 to
>>any via ${ifuser}
>> ${ipfw} add 1005 allow ip from any to
>>${uprefix}.5 via ${ifuser}
>>natd - запускается пучком, что не так подскажите, уже столько правил перепробовал,
>>инет есть, а пинга всё равно нет!
>>
>>Дело в том что я первый так сказать раз настраиваю фаэрвол, и
>>просто не представляю какого правила там ещё не хватает, и каким
>>образом мне поможет tcpdump тоже не пойму. Может это смешно но
>>правда!
>
>###########################################################################
># ICMP
># Разрешить
>все ICMP пакеты на внутренних интерфейсах
>#${fwcmd} add pass icmp from any to any via ${iif1}
>#${fwcmd} add pass icmp from any to any via ${iif2}
>
># (3) Dest Unrechable, Service Unavailable
>
># Входящие
>и исходящие данные, передаваемые при определении
># размера;
>сообщения о том, что узел или сервер недоступны;
># отклик
>traceroute
># (4) Source Quench
># Входящие
>и исходящие запросы с требованием замедления передачи
># (11) Time Exceeded
># Входящие
>и исходящие сообщения о тайм-ауте, а также
># TTL-сообщения
>traceroute
># (12) Parameter Problem
># Входящие
>и исходящие сообщения об ошибках
># Разрешить передачу и прием пакетов Ping по любым адресам
>
>
>${fwcmd} add pass icmp from any to any icmptypes 0,8,3,4,11,12 via ${oif}
>
>
># Allow IP fragments to pass through
>${fwcmd} add pass all from any to any frag
>
>С уважением Алексей Леончик
Не работает, tcpdump вот что пишет я не знаю что это такое
11:29:57.465411 Echo-Rep(29), Magic-Num=5a61ce27
11:29:58.422725 192.168.0.8 > ns.pk.ua: icmp: echo request
11:29:59.432718 192.168.0.8 > ns.pk.ua: icmp: echo request
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
06-Июл-05, 16:48 (MSK)
