форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Впомним классику: ipfw+natd+локалка"
Сообщение от redmoon (??) on 17-Окт-05, 15:17  (MSK)
мне нужно не много, мне нужно разрешить все только админу и разрешить все только для flynet'a, открыть для всех 80 и 443 порт, разрешить интернет через нат пользователю локалки 192.168.0.4. ниже конфиг. Понимаю что ничего сложного, но нижний конфиг не работает. может быть кто-нибудь поделиться конфигом на redmoon@fly-net.ru я уже голову сломал, помогите. #!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.0/24' admin='192.168.0.2/32' flynet='172.23.1.99/32' ifout='rl0' ifuser='rl1' ${ipfw} flush ${ipfw} add 1 pass all from any to any via lo0 ${ipfw} add 2 deny all from any to 127.0.0.0/8 ${ipfw} add 3 deny ip from 127.0.0.0/8 to any ${ipfw} add 40 pass all from ${flynet} to any ${ipfw} add 50 pass all from any to ${flynet} ${ipfw} add 80 pass udp from any to me domain keep-state ${ipfw} add 90 pass udp from me to any domain keep-state ${ipfw} add 91 pass tcp from any to any http,https keep-state ${ipfw} add 4599 divert natd ip from any to any out via rl0 ${ipfw} add 4603 pass all from ${admin} to any ${ipfw} add 4604 pass all from any to ${admin} ${ipfw} add 65534 deny all from ${ournet} to any заранее спасибо.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Впомним классику: ipfw+natd+локалка"
Сообщение от miron (??) on 17-Окт-05, 20:31  (MSK)
похоже не такая уж "классика" раз мало кто знает. сам с этим столкнулся. 4599 - дивертить надо не только исходящий, но и входящий трафик проблема: natd+динамические правила. создается дин правило для соед тачки из лок сети (src-addr из лвс) с неким сайтом в интырнете. но ответные пакеты приходят с dst-адресом шлюза и соответственно под созданное правило не подходят! единственный вариант что я нашел в сети (пример): divert natd all from any to me in via rl0 check-state skipto 60000 tcp from any to any out via rl0 setup keep-state #возможно setup надо  убрать deny all from any to any via rl0 60000 divert natd all from any to any out via rl0 allow all from any to any via rl0 есть несколько непонятных мест, но общий смысл ясен. примерно в таком виде динамич правила у меня сработали.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.