forum.opennet.ru - "nat + ifpw не работает" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"nat + ifpw не работает"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"nat + ifpw не работает"
Сообщение от maskon (ok) on 17-Авг-07, 16:09
фигня какая-то... unix:~# uname -a FreeBSD 5.4-RELEASE FreeBSD 5.4-RELEASE #0: Sat Jul 28 20:27:51 MSD 2007 ============================================================================ unix:~# ipfw show // Loopback 00100 3826 1053232 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any // Понятно... 00400 0 0 deny ip from 192.168.0.0/24 to any in via em0 00500 0 0 deny ip from 222.111.222.0/24 to any in via em1 00600 0 0 deny ip from any to 10.0.0.0/8 via em0 00700 0 0 deny ip from any to 172.16.0.0/12 via em0 00800 0 0 deny ip from any to 192.168.0.0/16 via em0 00900 0 0 deny ip from any to 0.0.0.0/8 via em0 01000 0 0 deny ip from any to 169.254.0.0/16 via em0 01100 0 0 deny ip from any to 192.0.2.0/24 via em0 01200 0 0 deny ip from any to 224.0.0.0/4 via em0 01300 0 0 deny ip from any to 240.0.0.0/4 via em0 // NAT 01400 4367 2102951 divert 8668 ip from any to any via em0 //доступ к РОР3 и WWW 01500 0 0 allow tcp from any to 222.111.222.8 dst-port 80,110 01600 0 0 allow tcp from any to 192.168.0.12 dst-port 80,110 // SNMP 01700 281 28711 allow udp from 192.168.0.0/24 to 192.168.0.0/24 via em1 // VPN + SSH с определенных хостов 01800 0 0 allow gre from 1.2.3.4 to 222.111.222.8 via em0 01900 0 0 allow gre from 222.111.222.8 to 1.2.3.4 via em0 02000 0 0 allow tcp from 1.2.3.4 to 222.111.222.8 dst-port 22,1723 setup 02100 0 0 allow tcp from 222.111.222.8 1723 to 1.2.3.4 02200 0 0 allow gre from 212.129.0.0/16 to 222.111.222.8 via em0 02300 0 0 allow gre from 222.111.222.8 to 11.22.0.0/16 via em0 02400 0 0 allow tcp from 11.22.0.0/16 to 222.111.222.8 dst-port 22,1723 setup 02500 0 0 allow tcp from 222.111.222.8 1723 to 11.22.0.0/16 02600 0 0 allow gre from 89.253.16.0/21 to 222.111.222.8 via em0 02700 0 0 allow gre from 222.111.222.8 to 89.253.16.0/21 via em0 02800 0 0 allow tcp from 89.253.16.0/21 to 222.111.222.8 dst-port 22,1723 setup 02900 0 0 allow tcp from 222.111.222.8 1723 to 89.253.16.0/21 // Дабы не все шарились где попало... 03000 0 0 allow tcp from 192.168.0.12 to any dst-port 80 via em0 03100 0 0 deny tcp from 192.168.0.0/24 to any dst-port 80 via em0 // НАДО 03200 0 0 allow ip from any to 4.4.6.21 03300 0 0 allow ip from 4.4.6.21 to any // Понятно... 03400 0 0 deny ip from 10.0.0.0/8 to any via em0 03500 0 0 deny ip from 172.16.0.0/12 to any via em0 03600 0 0 deny ip from 192.168.0.0/16 to any via em0 03700 0 0 deny ip from 0.0.0.0/8 to any via em0 03800 0 0 deny ip from 169.254.0.0/16 to any via em0 03900 0 0 deny ip from 192.0.2.0/24 to any via em0 04000 0 0 deny ip from 224.0.0.0/4 to any via em0 04100 0 0 deny ip from 240.0.0.0/4 to any via em0 // Святое 04200 14948 7044200 allow tcp from any to any established 04300 0 0 allow ip from any to any frag // Почта 04400 2 96 allow tcp from any to 222.111.222.8 dst-port 25,110 setup 04500 0 0 allow tcp from 222.111.222.8 25,110 to any // На время отладки 04600 11 636 allow icmp from any to any // Все враги убиты 04700 0 0 deny log logamount 20 tcp from any to any in via em0 setup // Все хорошие остались 04800 760 38952 allow tcp from any to any setup // ДНС 04900 54 4145 allow udp from 222.111.222.8 to any dst-port 53 keep-state 05000 0 0 allow udp from 222.111.222.8 53 to any 05100 52 3816 allow udp from 192.168.0.0/24 to any dst-port 53 05200 92 11474 allow udp from any 53 to 192.168.0.0/24 // NTP 05300 0 0 allow udp from 222.111.222.87 to any dst-port 123 keep-state // Понятно... 65535 7 1942 deny ip from any to any ============================================================================ 222.111.222.8 - IP , смотрящий в инет.. 192.168.0.10 - IP , смотрящий в локальную сеть ============================================================================ unix:~# cat /etc/natd.conf log yes use_sockets yes same_ports yes unregistered_only yes dynamic yes redirect_port tcp 192.168.0.12:110 110 redirect_port tcp 192.168.0.12:80 80 ============================================================================ Внимание, вопрос: Почему правила //доступ к РОР3 и WWW 01500 0 0 allow tcp from any to 222.111.222.8 dst-port 80,110 01600 0 0 allow tcp from any to 192.168.0.12 dst-port 80,110 Для РОР3 работают, а для HTTP - нет?????? Может, я чего пропустил???
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

nat + ifpw не работает, DN, 17:26 , 17-Авг-07, (1)

nat + ifpw не работает, maskon, 22:22 , 17-Авг-07, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "nat + ifpw не работает"

Сообщение от DN (??) on 17-Авг-07, 17:26

>[оверквотинг удален]
>0 deny ip from any to 169.254.0.0/16 via em0
>01100     0
>0 deny ip from any to 192.0.2.0/24 via em0
>01200     0
>0 deny ip from any to 224.0.0.0/4 via em0
>01300     0
>0 deny ip from any to 240.0.0.0/4 via em0
>
>// NAT
>01400  4367 2102951 divert 8668 ip from any to any via em0
//"Понятно" пораньше, как доктор прописал.
// Ну , надо добавить /sbin/ipfw в начале строк.
deny ip from 10.0.0.0/8 to any via em0
deny ip from 172.16.0.0/12 to any via em0
deny ip from 192.168.0.0/16 to any via em0
deny ip from 0.0.0.0/8 to any via em0
deny ip from 169.254.0.0/16 to any via em0
deny ip from 192.0.2.0/24 to any via em0
deny ip from 224.0.0.0/4 to any via em0
deny ip from 240.0.0.0/4 to any via em0
// "Святое", то же по раньше.
allow tcp from any to any established
allow ip from any to any frag
//доступ к РОР3 и WWW
allow tcp from any to 222.111.222.8 dst-port 80,110 setup
allow tcp from any to 192.168.0.12 dst-port 80,110 setup

// Далее, по аналогии с  /etc/rc.firewall (simple).
>[оверквотинг удален]
>
>
>// НАДО
>03200     0
>0 allow ip from any to 4.4.6.21
>03300     0
>0 allow ip from 4.4.6.21 to any
>// Почта
>04400     2      96
>allow tcp from any to 222.111.222.8 dst-port 25,110 setup
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Вот поэтому работал pop3, а http не работал.

>[оверквотинг удален]
>Почему правила
>
>//доступ к РОР3 и WWW
>01500     0
>0 allow tcp from any to 222.111.222.8 dst-port 80,110
>01600     0
>0 allow tcp from any to 192.168.0.12 dst-port 80,110
>
>Для РОР3 работают, а для HTTP - нет?????? Может, я чего пропустил???
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "nat + ifpw не работает"

Сообщение от maskon (ok) on 17-Авг-07, 22:22

Заработало... Немного не так..
Все равно ничего не понял...
=========================================================================
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from 192.168.0.0/24 to any in via em0
00500 deny ip from 195.131.88.0/24 to any in via em1
00600 deny ip from any to 10.0.0.0/8 via em0
00700 deny ip from any to 172.16.0.0/12 via em0
00800 deny ip from any to 192.168.0.0/16 via em0
00900 deny ip from any to 0.0.0.0/8 via em0
01000 deny ip from any to 169.254.0.0/16 via em0
01100 deny ip from any to 192.0.2.0/24 via em0
01200 deny ip from any to 224.0.0.0/4 via em0
01300 deny ip from any to 240.0.0.0/4 via em0
01400 divert 8668 ip from any to any via em0
01500 deny ip from 10.0.0.0/8 to any via em0
01600 deny ip from 172.16.0.0/12 to any via em0
01700 deny ip from 192.168.0.0/16 to any via em0
01800 deny ip from 0.0.0.0/8 to any via em0
01900 deny ip from 169.254.0.0/16 to any via em0
02000 deny ip from 192.0.2.0/24 to any via em0
02100 deny ip from 224.0.0.0/4 to any via em0
02200 deny ip from 240.0.0.0/4 to any via em0
02300 allow tcp from any to any established
02400 allow ip from any to any frag
02500 allow tcp from any to 222.111.222.8 dst-port 8080,110 setup
02600 allow tcp from any to 192.168.0.12 dst-port 8080,110 setup
02700 allow udp from 192.168.0.0/24 to 192.168.0.0/24 via em1
02800 allow gre from 1.2.3.4 to 222.111.222.8 via em0
02900 allow gre from 222.111.222.8 to 1.2.3.4 via em0
03000 allow tcp from 1.2.3.4 to 222.111.222.8 dst-port 22,1723 setup
03100 allow tcp from 222.111.222.8 1723 to 1.2.3.4
03200 allow gre from 212.129.0.0/16 to 222.111.222.8 via em0
03300 allow gre from 222.111.222.8 to 212.129.0.0/16 via em0
03400 allow tcp from 212.129.0.0/16 to 222.111.222.8 dst-port 22,1723 setup
03500 allow tcp from 222.111.222.8 1723 to 212.129.0.0/16
03600 allow gre from 89.253.16.0/21 to 222.111.222.8 via em0
03700 allow gre from 222.111.222.8 to 89.253.16.0/21 via em0
03800 allow tcp from 89.253.16.0/21 to 222.111.222.8 dst-port 22,1723 setup
03900 allow tcp from 222.111.222.8 1723 to 89.253.16.0/21
04000 allow tcp from 192.168.0.12 to any dst-port 8080 via em0
04100 deny tcp from 192.168.0.0/24 to any dst-port 80 via em0
04200 allow ip from any to 84.204.56.210
04300 allow ip from 84.204.56.210 to any
04400 allow tcp from any to 222.111.222.8 dst-port 25 setup
04500 allow tcp from 222.111.222.8 25 to any
04600 allow icmp from any to any
04700 deny log logamount 20 tcp from any to any in via em0 setup
04800 allow tcp from any to any setup
04900 allow udp from 222.111.222.8 to any dst-port 53 keep-state
05000 allow udp from 222.111.222.8 53 to any
05100 allow udp from 192.168.0.0/24 to any dst-port 53
05200 allow udp from any 53 to 192.168.0.0/24
05300 allow udp from 222.111.222.8 to any dst-port 123 keep-state
65535 deny ip from any to any
===============================================================================
===============================================================================
unix:~# cat /etc/natd.conf
log yes
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes
redirect_port tcp 192.168.0.12:110 110
redirect_port tcp 192.168.0.12:8080 8080
===============================================================================
В общем, апач на фрюхе вернул на 80 порт, 8080 - пробрасывается дальше и все работает как надо... Только вместо 80 порт 8080... Почему 80 не работает не понимаю...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "nat + ifpw не работает"
Сообщение от DN (??) on 17-Авг-07, 17:26
>[оверквотинг удален] >0 deny ip from any to 169.254.0.0/16 via em0 >01100 0 >0 deny ip from any to 192.0.2.0/24 via em0 >01200 0 >0 deny ip from any to 224.0.0.0/4 via em0 >01300 0 >0 deny ip from any to 240.0.0.0/4 via em0 > >// NAT >01400 4367 2102951 divert 8668 ip from any to any via em0 //"Понятно" пораньше, как доктор прописал. // Ну , надо добавить /sbin/ipfw в начале строк. deny ip from 10.0.0.0/8 to any via em0 deny ip from 172.16.0.0/12 to any via em0 deny ip from 192.168.0.0/16 to any via em0 deny ip from 0.0.0.0/8 to any via em0 deny ip from 169.254.0.0/16 to any via em0 deny ip from 192.0.2.0/24 to any via em0 deny ip from 224.0.0.0/4 to any via em0 deny ip from 240.0.0.0/4 to any via em0 // "Святое", то же по раньше. allow tcp from any to any established allow ip from any to any frag //доступ к РОР3 и WWW allow tcp from any to 222.111.222.8 dst-port 80,110 setup allow tcp from any to 192.168.0.12 dst-port 80,110 setup // Далее, по аналогии с /etc/rc.firewall (simple). >[оверквотинг удален] > > >// НАДО >03200 0 >0 allow ip from any to 4.4.6.21 >03300 0 >0 allow ip from 4.4.6.21 to any >// Почта >04400 2 96 >allow tcp from any to 222.111.222.8 dst-port 25,110 setup ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот поэтому работал pop3, а http не работал. >[оверквотинг удален] >Почему правила > >//доступ к РОР3 и WWW >01500 0 >0 allow tcp from any to 222.111.222.8 dst-port 80,110 >01600 0 >0 allow tcp from any to 192.168.0.12 dst-port 80,110 > >Для РОР3 работают, а для HTTP - нет?????? Может, я чего пропустил??? >
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "nat + ifpw не работает"
	Сообщение от maskon (ok) on 17-Авг-07, 22:22
	Заработало... Немного не так.. Все равно ничего не понял... ========================================================================= 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from 192.168.0.0/24 to any in via em0 00500 deny ip from 195.131.88.0/24 to any in via em1 00600 deny ip from any to 10.0.0.0/8 via em0 00700 deny ip from any to 172.16.0.0/12 via em0 00800 deny ip from any to 192.168.0.0/16 via em0 00900 deny ip from any to 0.0.0.0/8 via em0 01000 deny ip from any to 169.254.0.0/16 via em0 01100 deny ip from any to 192.0.2.0/24 via em0 01200 deny ip from any to 224.0.0.0/4 via em0 01300 deny ip from any to 240.0.0.0/4 via em0 01400 divert 8668 ip from any to any via em0 01500 deny ip from 10.0.0.0/8 to any via em0 01600 deny ip from 172.16.0.0/12 to any via em0 01700 deny ip from 192.168.0.0/16 to any via em0 01800 deny ip from 0.0.0.0/8 to any via em0 01900 deny ip from 169.254.0.0/16 to any via em0 02000 deny ip from 192.0.2.0/24 to any via em0 02100 deny ip from 224.0.0.0/4 to any via em0 02200 deny ip from 240.0.0.0/4 to any via em0 02300 allow tcp from any to any established 02400 allow ip from any to any frag 02500 allow tcp from any to 222.111.222.8 dst-port 8080,110 setup 02600 allow tcp from any to 192.168.0.12 dst-port 8080,110 setup 02700 allow udp from 192.168.0.0/24 to 192.168.0.0/24 via em1 02800 allow gre from 1.2.3.4 to 222.111.222.8 via em0 02900 allow gre from 222.111.222.8 to 1.2.3.4 via em0 03000 allow tcp from 1.2.3.4 to 222.111.222.8 dst-port 22,1723 setup 03100 allow tcp from 222.111.222.8 1723 to 1.2.3.4 03200 allow gre from 212.129.0.0/16 to 222.111.222.8 via em0 03300 allow gre from 222.111.222.8 to 212.129.0.0/16 via em0 03400 allow tcp from 212.129.0.0/16 to 222.111.222.8 dst-port 22,1723 setup 03500 allow tcp from 222.111.222.8 1723 to 212.129.0.0/16 03600 allow gre from 89.253.16.0/21 to 222.111.222.8 via em0 03700 allow gre from 222.111.222.8 to 89.253.16.0/21 via em0 03800 allow tcp from 89.253.16.0/21 to 222.111.222.8 dst-port 22,1723 setup 03900 allow tcp from 222.111.222.8 1723 to 89.253.16.0/21 04000 allow tcp from 192.168.0.12 to any dst-port 8080 via em0 04100 deny tcp from 192.168.0.0/24 to any dst-port 80 via em0 04200 allow ip from any to 84.204.56.210 04300 allow ip from 84.204.56.210 to any 04400 allow tcp from any to 222.111.222.8 dst-port 25 setup 04500 allow tcp from 222.111.222.8 25 to any 04600 allow icmp from any to any 04700 deny log logamount 20 tcp from any to any in via em0 setup 04800 allow tcp from any to any setup 04900 allow udp from 222.111.222.8 to any dst-port 53 keep-state 05000 allow udp from 222.111.222.8 53 to any 05100 allow udp from 192.168.0.0/24 to any dst-port 53 05200 allow udp from any 53 to 192.168.0.0/24 05300 allow udp from 222.111.222.8 to any dst-port 123 keep-state 65535 deny ip from any to any =============================================================================== =============================================================================== unix:~# cat /etc/natd.conf log yes use_sockets yes same_ports yes unregistered_only yes dynamic yes redirect_port tcp 192.168.0.12:110 110 redirect_port tcp 192.168.0.12:8080 8080 =============================================================================== В общем, апач на фрюхе вернул на 80 порт, 8080 - пробрасывается дальше и все работает как надо... Только вместо 80 порт 8080... Почему 80 не работает не понимаю...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]