Гуру ipfw помогите ламеру =)
Ситуация такая...
---
Поставил FreeNAS, настроил его под свои нужды и решил поднять хоть какой-нибудь простейший файрволл-затычку... Вроде сделал, но: локальный трафик обрабатывается так, как хотелось бы, а вот инет-трафик просто лочится... Почему он лочится и как его разлочить понять не могу изучил уже пару ipfw мануалов, включал established setup keep-state не помогло...
Смысл такой... Определенные локальные айпи пропускаются, остальная локалка лочится и другие локалки лочатся а инет-трафик должен проходить...
Выкладываю листинг Freenasa:storage:/var# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow ip from 192.168.137.210 to any established setup via re1 keep-state
00500 allow ip from any to 192.168.137.210 established setup via re1 keep-state
01000 allow ip from 192.168.137.1 to any via re1
01100 allow ip from any to 192.168.137.1 via re1
01200 allow ip from 192.168.137.70 to any via re1
01300 allow ip from any to 192.168.137.70 via re1
01400 allow ip from 192.168.137.79 to any via re1
01500 allow ip from any to 192.168.137.79 via re1
01600 allow ip from 192.168.137.138 to any via re1
01700 allow ip from any to 192.168.137.138 via re1
01800 allow ip from 192.168.137.146 to any via re1
01900 allow ip from any to 192.168.137.146 via re1
02000 allow ip from 192.168.137.211 to any via re1
02100 allow ip from any to 192.168.137.211 via re1
02200 allow ip from 192.168.137.212 to any via re1
02300 allow ip from any to 192.168.137.212 via re1
02400 allow ip from 192.168.137.213 to any via re1
02500 allow ip from any to 192.168.137.213 via re1
02600 allow ip from 192.168.137.242 to any via re1
02700 allow ip from any to 192.168.137.242 via re1
02800 allow ip from 192.168.137.77 to any via re1
02900 allow ip from any to 192.168.137.77 via re1
03000 allow ip from 192.168.137.252 to any via re1
03100 allow ip from any to 192.168.137.252 via re1
03200 allow ip from 192.168.137.154 to any via re1
03300 allow ip from any to 192.168.137.154 via re1
03400 allow ip from 192.168.137.250 to any via re1
03500 allow ip from any to 192.168.137.250 via re1
03600 reject log logamount 5 ip from 192.168.137.0/24 to any via re1
03700 reject log logamount 5 ip from any to 192.168.137.0/24 via re1
04000 deny ip from 10.0.0.0/8 to any via re1
04100 deny ip from any to 10.0.0.0/8 via re1
04200 deny ip from 172.16.0.0/12 to any via re1
04300 deny ip from any to 172.16.0.0/12 via re1
04400 deny ip from 192.168.0.0/16 to any via re1
04500 deny ip from any to 192.168.0.0/16 via re1
65535 allow ip from any to any
при такой конфигурации внешний пинг с фринаса такой:
storage:/var# ping www.ru
PING www.ru (194.87.0.50): 56 data bytes
ping: sendto: Permission denied
36 bytes from 192.168.137.210: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 2f32 0 0000 40 01 ad87 192.168.137.210 194.87.0.50
ping: sendto: Permission denied
36 bytes from 192.168.137.210: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 2f37 0 0000 40 01 ad61 192.168.137.210 194.87.0.50
^C
--- www.ru ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
Подскажите в чем косяк пжалста, и как применить исправление к фринасу если знаете, так как у него свои причуды он через php список правил файра при перезагрузке обновляет, что бы вы туда не дописывали...
СПАСИБО!
Вариант для распечатки
(??) on 02-Авг-11, 10:31 
