Всем привет!
Прошу не кидать помидорами ибо я тока начинаю ковыряться с фаерволами! :)
Вообщем достался серв с FreeBSD6.2 на котором выход в инет пользователей осуществлялся пробросом через NAT,поставил Squid,через него работает всё норм,оно и понятно,терь надо всех товарищей завернутых через NAT фильтравать ipfw,есть rc.firewall со старой работки, который я перелопатил чуток под эту сетку,там тож был серв на фрюшке 6.2!
Содержиние следующее:#!/bin/sh
fwcmd="/sbin/ipfw"
office="xxx.xxx.xxx.xxx/24"
#наружусмотрящий
oif="rl1"
№внутрьсмотрящий
iif="rl0"
${fwcmd} -f flush
${fwcmd} add allow tcp from any to me 22
${fwcmd} add allow tcp from me 22 to any
${fwcmd} add allow ip from any to any via ${iif}
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add deny log ip from any to any not antispoof in
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${office} to any http,https,ftp
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add divert natd ip from any to me in via ${oif}
${fwcmd} add check-state
${fwcmd} add allow tcp from me to any out via ${oif} setup keep-state
${fwcmd} add allow udp from me to any out via ${oif} keep-state
${fwcmd} add allow tcp from any to me domain,ssh,smtp,http,https,imap setup keep-state
${fwcmd} add allow udp from any to me domain keep-state
${fwcmd} add skipto 64000 icmp from ${office} to any out via ${oif} keep-state
${fwcmd} add allow icmp from any to any
${fwcmd} add skipto 64000 tcp from ${office} to any aol,pop3,smtp,imap,6667,6669,44405,55901,26000 out via ${oif} setup keep-state
${fwcmd} add skipto 64000 udp from ${office} to any 44405,55901 out via ${oif} keep-state
${fwcmd} add deny log all from any to any
${fwcmd} add deny all from any to any
${fwcmd} add 64000 divert natd ip from any to any out via ${oif}
${fwcmd} add 65000 allow all from any to any
На той машине откуда брался этот rc.firewall всё было прекрасно!
На это выдает следующее:
> in <22rt list: invalid separator <
ipfw: unrecognised option [-1] 22
'' unknownname ``any
ipfw: getsockopt(IP_FW_ADD): Invalid argument
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1]
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1] keep-state
'' unknownname ``any
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1] keep-state
ipfw: unrecognised option [-1] keep-state
'' unknownname ``any
'' unknownname ``any
Я так полагаю что ядро скомпилено не со всеми опциями для фаервола что использовались на старой телеге?
Если так то подскажите с какими скомпилить?
Или если что то ещё то укажите плиз! На хэндбуки не тыкайте,просто срочно надо!
Заранее пасиба!!!
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 08-Апр-08, 15:46 
