Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitry Vinogradov                    2:5020/2309    27 Oct 2004  02:05:20
 To : All
 Subject : ipfw
 -------------------------------------------------------------------------------- 
 
 
    Уже до чертиков маюсь с ipfw'ом.. Hе поверите, спать нормально не могу. ;(
 Собственно нужна подсказка и совет где и что лучше почитать (маны и "готовые"
 конфигурационные примеры просветления не принесли). Английский знаю плохо.
 Идеальной была бы какая-нибудь мудрая книжка с рассказами о организации роутинга
 и иже с ним (ибо, чувствую, слабоват я в этом) и упором на ipfw.
 
    Собственно проблема:
 
 Есть локалка (190.9.129.0/24 <- почему такая -- не спрашивайте -- делалось до
 меня, а мне 50 компов было очень леняво на локальные ip переводить, да и
 начальство глупое и злое) подключенная к интерфейсу сервера rl0. Из локалки
 должен быть полный доступ в инет (+ прокси. Адрес внешнего интерфейса (rl1)
 пусть будет 71.155.111.94. Правила привел ниже.
 
 Поднял dialin. Все бы хорошо, но в инет он выходит странно.. По 110, 25 вроде
 все нормально (но тоже не везде mail.ru -- ok, freemail -- телнетом заходит,
 мышонком глючит). По 80 и остальным -- задница. squid тоже как-то хитро пускает 
 (страницы работают, icq не хочет). Что ни делал -- толку ноль:
 
 - сначала дал имя сервера 190.9.129.50 и клиента 190.9.129.55 (правила, вроде
 должны пропускать без 2000 и 2100) -- ситуация описанная выше.
 
 - Перекомпилил ядро с поддержкой моста и вколючил мост (options BRIDGE) и
 добавил в /etc/sysctl.conf:
 nk.ether.bridge=1
 net.link.ether.bridge_cfg=rl0,ppp0
 , следуя указаниям handbook'а. Ситуция не изменилась и к локалке я доступа не
 слал иметь.
 
 - Думал, что не нравиться ей ситуация с IP из одного диапазона не неск.
 интерфейсах и поменял для сервера dialin на 192.168.1.100 и любой для клиента.
 Подправил правила.. Ситуация не изменилась.
    М.б. я зря грешу на fw? Пробовал вставлять
 00555 allow ip from any to any
    результат нулевой.. М.б. кто-нибудь сможет что-нибудь посоветовать? Если
 как-то криво объяснил -- звиняйте. Только начинаю более-менее серьезно изучать
 эхотаг.
 
    P.S. Локалка работает как надо. :)
 
 # ipfw list
 00010 deny log logamount 10 ip from any to 190.9.129.0/24 in recv rl1
 00100 allow ip from any to any via lo0
 00300 allow icmp from any to 71.155.111.94 in recv rl1 icmptype 0,3,4,11,12
 00310 allow icmp from 71.155.111.94 to any out xmit rl1 icmptype 3,8,12
 00320 allow icmp from 71.155.111.94 to any out xmit rl1 frag
 00330 deny log logamount 10 icmp from any to any in recv rl1
 00400 divert 8668 ip from any to any via rl1
 00600 check-state
 00700 allow tcp from any to me 110 keep-state setup
 00790 allow ip from me to any keep-state
 01000 allow ip from 190.9.129.0/24 to any keep-state
 01010 allow ip from any to 190.9.129.0/24 keep-state
 02000 allow ip from 192.168.1.0/24 to any keep-state
 02100 allow ip from any to 192.168.1.0/24 keep-state
 65535 deny ip from any to any
    Спасибо.
 
 ФННННННН[ Ha этом All я прощаюсь с тобой ]НННННДДДД---ъъъ
 
 --- GoldED+/W32 1.1.5-030227
  * Origin: no origin (2:5020/2309)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 ipfw   Dmitry Vinogradov   27 Oct 2004 02:05:20 
 ipfw   Alexander Lunyov   27 Oct 2004 17:31:48 
 ipfw   Alexander Lunyov   27 Oct 2004 18:10:42 
Архивное /ru.unix.bsd/22467417ed379.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional