The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите понять где напортачил в правилах ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 14:12 
Помогите понять где напортачил
не ходят пакеты из сети loc в loc2 и наоборот
ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины в loc уже нет.
freebsd 6.1,ipfw,squid,vsftpd,samba,nat

/etc/rc.frw
____________
#
ipfw -q -f flush
#
cmd="ipfw -q add"
publif="xl1"
lif="xl0"
loc2if="fxp0"
loc="192.168.1.0/24"
loc2="192.168.2.0/24"
lip="192.168.1.1"
publip="90.90.90.90"
l2ip="192.168.2.1"
## base
$cmd 00010 allow all from any to any via lo0
$cmd 00015 check-state
#deny
$cmd 00100 deny all from 192.168.0.0/16 to any in via $publif
$cmd 00110 deny all from 172.16.0.0/12 to any in via $publif
$cmd 00120 deny all from 10.0.0.0/8 to any in via $publif
$cmd 00130 deny all from 0.0.0.0/8 to any in via $publif
$cmd 00140 deny all from 169.254.0.0/16 to any in via $publif
$cmd 00150 deny all from 192.0.2.0/24 to any in via $publif
$cmd 00160 deny all from 204.152.64.0/23 to any in via $publif
$cmd 00170 deny all from 224.0.0.0/3 to any in via $publif
$cmd 00180 deny all from 127.0.0.0/8 to any in via $publif
$cmd 00190 deny all from $loc to any in via $publif
$cmd 00191 deny all from $loc2 to any in via $publif
$cmd 00192 deny all from $loc to any in via $loc2if
$cmd 00193 deny all from $loc2 to any in via $lif
$cmd 00311 deny tcp from any to any 22,25,53,80-83,110,135-139,443,445,548,953,8080 in via $publif
$cmd 00431 deny udp from any to any 22,25,53,80-83,110,135-139,443,445,548,953,8080 in via $publif
$cmd 00440 deny all from any to any frag in via $publif
$cmd 00461 deny icmp from any to $publip in via $publif
$cmd 00470 pass all from 127.0.0.0/8 to any
#
#allowed
$cmd 00490 pass icmp from any to any
$cmd 00491 pass all from $loc2 to $loc
$cmd 00492 pass all from  $loc to $loc2
$cmd 00500 pass udp from $loc to $lip 53 via $lif keep-state
$cmd 00501 pass udp from $loc2 to $lip 53 via $loc2if keep-state
$cmd 00505 pass tcp from $loc to $lip 8080 via $lif keep-state
$cmd 00506 pass tcp from $loc2 to $l2ip 8080 via $loc2if keep-state
$cmd 00511 allow tcp from $loc to $lip via $lif
$cmd 00513 allow udp from $loc to $lip via $lif
#loc2
$cmd 00516 allow tcp from $loc2 to $l2ip via $loc2if
$cmd 00517 allow udp from $loc2 to $l2ip via $loc2if
#localshikov na nat
$cmd 00525 skipto 00720 tcp from $loc to any 25,110,20,21,10000-65535 in via $lif
$cmd 00526 skipto 00720 udp from $loc to any 53 in via $lif
$cmd 00528 skipto 00720 tcp from $loc2 to any 25,110,20,21,10000-65535 in via $loc2if
$cmd 00529 skipto 00720 udp from $loc2 to any 53 in via $loc2if
#rubim lishnee s nata
$cmd 00530 deny tcp from $loc to any 22,23,80,81,135,137,138,139,443,548,1080,5190,3128,8080 in via $lif
$cmd 00531 deny all from $loc to any in via $lif
$cmd 00532 deny tcp from $loc2 to any 22,23,80,81,135,137,138,139,443,548,1080,5190,3128,8080 in via $loc2if
$cmd 00533 deny all from $loc2 to any in via $loc2if
#rasresh isxodyashie
$cmd 00550 allow tcp from me to any 53 out via $publif setup keep-state
$cmd 00560 allow udp from me to any 53 out via $publif keep-state
$cmd 00570 pass tcp from  me to any via $publif  keep-state
#k nash ftp dostup
$cmd 00600 pass tcp from any to $publip 20 via $publif
$cmd 00610 pass tcp from me 20 to any via $publif
$cmd 00620 pass tcp from any to $publip 21 via $publif
$cmd 00630 pass tcp from me 21 to any via $publif
#$cmd 00640 pass tcp from any to $publip 10000-20000 via $publif
#nat
$cmd 00720 divert natd ip from any to any via $publif
$cmd 00725 allow all from any to any
#deny log
$cmd 50000 deny log all from any to any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от magr email(??) on 16-Май-06, 14:28 
>Помогите понять где напортачил
>не ходят пакеты из сети loc в loc2 и наоборот
>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>в loc уже нет.
>freebsd 6.1,ipfw,squid,vsftpd,samba,nat

возможно дело в sysctl net.inet.ip.forwarding

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 14:30 
>>Помогите понять где напортачил
>>не ходят пакеты из сети loc в loc2 и наоборот
>>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>>в loc уже нет.
>>freebsd 6.1,ipfw,squid,vsftpd,samba,nat
>
>возможно дело в sysctl net.inet.ip.forwarding


sysctl net.inet.ip.forwarding 1

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от magr email(??) on 16-Май-06, 14:45 
>>>Помогите понять где напортачил
>>>не ходят пакеты из сети loc в loc2 и наоборот
>>>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>>>в loc уже нет.
>>>freebsd 6.1,ipfw,squid,vsftpd,samba,nat
>>
>>возможно дело в sysctl net.inet.ip.forwarding
>
>
>sysctl net.inet.ip.forwarding 1

тогда, напишите
ipfw add 1 pass icmp from any to any
если пинг не заработает, и
ipfw show 1 показывает только одно это правило, то дело не в ipfw

а если пинг заработает, уберите ipfw delete 1
и смотрите по выводу ipfw show кто может блокировать icmp (оно у вас 490 правилом разрешается), ориентируясь на счетчики пакетов
Если сомневаетесь, временно добавьте log к некоторым правилам

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 14:51 

>тогда, напишите
>ipfw add 1 pass icmp from any to any
>если пинг не заработает, и
>ipfw show 1 показывает только одно это правило, то дело не в
>ipfw

пинга нет....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 15:01 
>
>>тогда, напишите
>>ipfw add 1 pass icmp from any to any
>>если пинг не заработает, и
>>ipfw show 1 показывает только одно это правило, то дело не в
>>ipfw
>
>пинга нет....

а чтоже кроме ipfw в данном случае может влиять?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от dm email(??) on 16-Май-06, 14:46 
>>>Помогите понять где напортачил
>>>не ходят пакеты из сети loc в loc2 и наоборот
>>>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>>>в loc уже нет.
>>>freebsd 6.1,ipfw,squid,vsftpd,samba,nat
>>
>>возможно дело в sysctl net.inet.ip.forwarding
>
>
>sysctl net.inet.ip.forwarding 1

а в /var/log/security что ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 15:11 
>>>>Помогите понять где напортачил
>>>>не ходят пакеты из сети loc в loc2 и наоборот
>>>>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>>>>в loc уже нет.
>>>>freebsd 6.1,ipfw,squid,vsftpd,samba,nat
>>>
>>>возможно дело в sysctl net.inet.ip.forwarding
>>
>>
>>sysctl net.inet.ip.forwarding 1
>
>а в /var/log/security что ?

после добавления правила ipfw add 1 pass log icmp from any to any
ipfw: 1 Accept ICMP:8.0 192.168.2.2 192.168.1.2 in via fxp0
ipfw: 1 Accept ICMP:8.0 192.168.2.2 192.168.1.2 out via xl0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от magr email(??) on 16-Май-06, 15:33 
>>>>>Помогите понять где напортачил
>>>>>не ходят пакеты из сети loc в loc2 и наоборот
>>>>>ip сетевой на сервере смотрящей в loc из loc2 пингуется а машины
>>>>>в loc уже нет.
>>>>>freebsd 6.1,ipfw,squid,vsftpd,samba,nat
>>>>
>>>>возможно дело в sysctl net.inet.ip.forwarding
>>>
>>>
>>>sysctl net.inet.ip.forwarding 1
>>
>>а в /var/log/security что ?
>
>после добавления правила ipfw add 1 pass log icmp from any to
>any
> ipfw: 1 Accept ICMP:8.0 192.168.2.2 192.168.1.2 in via fxp0
> ipfw: 1 Accept ICMP:8.0 192.168.2.2 192.168.1.2 out via xl0

192.168.1.2 может не отвечать на пинги, также может не знать маршрута к сети 192.168.2. или иметь его неверным.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 15:54 

>
>192.168.1.2 может не отвечать на пинги, также может не знать маршрута к
>сети 192.168.2. или иметь его неверным.


да в том то и дело что знает,всё прописанно правильно только что еще раз проверил на всякий случай.
куда копать непонимаю,сейчас на сервере даже static_routes в rc.conf прописал,перезагрузил
результат прежний

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от dm email(??) on 16-Май-06, 15:56 
>
>>
>>192.168.1.2 может не отвечать на пинги, также может не знать маршрута к
>>сети 192.168.2. или иметь его неверным.
>
>
>да в том то и дело что знает,всё прописанно правильно только что
>еще раз проверил на всякий случай.
>куда копать непонимаю,сейчас на сервере даже static_routes в rc.conf прописал,перезагрузил
>результат прежний

А netstat -nr покажи на 192.168.1.2 и на 192.168.2.1  и заодно на 192.168.1.1

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от aliv email(??) on 16-Май-06, 15:59 
а сам себя то он пингует ping 127.0.0.1 ?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 16:17 
>а сам себя то он пингует ping 127.0.0.1 ?

192.168.2.2 из loc2 сама себя пингует и 192.168.1.1 пингует в том числе карточку c ip 192.168.1.1
сервер и 127.0.0.1 и сетевые 192.168.1.1 и 192.168.2.1 и машины 192.168.1.2 и 192.168.2.2 всех пингует

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 16:11 

>А netstat -nr покажи на 192.168.1.2 и на 192.168.2.1  и заодно
>на 192.168.1.1


Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            90.90.90.5         UGS         0  5506327    xl1
90.90.90.11/29     link#3             UC          0        0    xl1
90.90.90.5         00:33:3b:8d:fc:10  UHLW        2        0    xl1    393
90.90.90.90        00:12:4b:18:14:01  UHLW        1     5818    lo0
127.0.0.1          127.0.0.1          UH          0   270371    lo0
192.168.1          link#2             UC          0        0    xl0
192.168.1.1        00:2c:6e:ad:d2:11  UHLW        1       13    xl0   1194
192.168.1.2        00:01:a2:68:0b:81  UHLW        1      695    xl0   1033
192.168.1.63       00:18:a1:1d:27:87  UHLW        1    22433    xl0    978
192.168.1.64       00:30:12:2a:2f:8a  UHLW        1     7578    xl0   1037
192.168.1.250      00:30:37:51:14:5e  UHLW        1    17333    lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       1      388    xl0
192.168.2          link#1             UC          0        0   fxp0
192.168.2.1        00:1d:6d:0c:4a:43  UHLW        1    27599   fxp0    859
192.168.2.2        00:20:53:7a:5f:7f  UHLW        1      165    lo0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 16:21 
верхняя таблица неправильная  при копировании перемудрил

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            90.90.90.5         UGS         0  5506327    xl1
90.90.90.11/29     link#3             UC          0        0    xl1
90.90.90.5         00:33:3b:8d:fc:10  UHLW        2        0    xl1    393
90.90.90.90        00:12:4b:18:14:01  UHLW        1     5818    lo0
127.0.0.1          127.0.0.1          UH          0   270371    lo0
192.168.1          link#2             UC          0        0    xl0
192.168.1.1        00:2c:6e:ad:d2:11  UHLW        1       13    lo0   1194
192.168.1.2        00:01:a2:68:0b:81  UHLW        1      695    xl0   1033
192.168.1.63       00:18:a1:1d:27:87  UHLW        1    22433    xl0    978
192.168.1.64       00:30:12:2a:2f:8a  UHLW        1     7578    xl0   1037
192.168.1.250      00:30:37:51:14:5e  UHLW        1    17333    xl0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       1      388    xl0
192.168.2          link#1             UC          0        0   fxp0
192.168.2.1        00:1d:6d:0c:4a:43  UHLW        1    27599   lo0    859
192.168.2.2        00:20:53:7a:5f:7f  UHLW        1      165    fxp0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от magr email(??) on 16-Май-06, 16:35 
>верхняя таблица неправильная  при копировании перемудрил
>

1.нет ли других файрволлов (pf, ipf)

2.думаю, можно запустить tcpdump -n -i xl0 host 192.168.1.2
и повторить пинг из сообщения #7
(предполагается что трафика другого 1.2 не порождает, иначе сами regexp напишите)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от dm email(??) on 16-Май-06, 16:35 
>верхняя таблица неправильная  при копировании перемудрил
это на 192.168.1.1
интересует 192.168.2.2 и 192.168.1.2 машины, которые в разных сетях.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от Рома on 16-Май-06, 17:16 
>>верхняя таблица неправильная  при копировании перемудрил
>это на 192.168.1.1
>интересует 192.168.2.2 и 192.168.1.2 машины, которые в разных сетях.

обе машины под win2k

192.168.1.2
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.1.1   192.168.1.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.1.0    255.255.255.0    192.168.1.2   192.168.1.2       20
    192.168.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.1.255  255.255.255.255    192.168.1.2   192.168.1.2       20
        224.0.0.0        240.0.0.0    192.168.1.2   192.168.1.2       20
  255.255.255.255  255.255.255.255    192.168.1.2   192.168.1.2       1
Основной шлюз:     192.168.1.1
===========================================================================

192.168.2.2
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.2.1   192.168.2.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.2.0    255.255.255.0    192.168.2.2   192.168.2.2       20
    192.168.2.2  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.2.255  255.255.255.255    192.168.2.2   192.168.2.2       20
        224.0.0.0        240.0.0.0    192.168.2.2   192.168.2.2       20
  255.255.255.255  255.255.255.255    192.168.2.2   192.168.2.2       1
Основной шлюз:     192.168.2.1
===========================================================================


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "Помогите понять где напортачил в правилах ipfw"  
Сообщение от dm email(??) on 16-Май-06, 17:39 
>>>верхняя таблица неправильная  при копировании перемудрил
>>это на 192.168.1.1
>>интересует 192.168.2.2 и 192.168.1.2 машины, которые в разных сетях.
>
>обе машины под win2k

еще ipfw show и sysctl -a | grep forwarding


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру