Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Lunyov                     2:5059/20.5    27 Oct 2004  17:31:48
 To : Dmitry Vinogradov
 Subject : ipfw
 -------------------------------------------------------------------------------- 
 
  ** Dmitry Vinogradov => All
 
 > Уже до чертиков маюсь с ipfw'ом.. Hе поверите, спать нормально не могу.
 > ;( Собственно нужна подсказка и совет где и что лучше почитать (маны и
 > "готовые" конфигурационные примеры просветления не принесли). Английский
 > знаю плохо. Идеальной была бы какая-нибудь мудрая книжка с рассказами о
 > организации роутинга и иже с ним (ибо, чувствую, слабоват я в этом) и
 > упором на ipfw.
 
     без упора на ipfw, "tcp/ip illustrated" Стивенса
     http://www.ozon.ru/context/detail/id/1354276/
     прям от корки до корки. после этой книшки на меня снизошло просветление.
 
 > Есть локалка (190.9.129.0/24 <- почему такая -- не спрашивайте --
 > делалось до меня, а мне 50 компов было очень леняво на локальные ip
 > переводить, да и начальство глупое и злое) подключенная к интерфейсу
 > сервера rl0. Из локалки должен быть полный доступ в инет (+ прокси. Адрес
 > внешнего интерфейса (rl1) пусть будет 71.155.111.94. Правила привел ниже.
 
     надо дивертить, раз "полный доступ"
 
 > Поднял dialin. Все бы хорошо, но в инет он выходит странно.. По 110, 25
 > вроде все нормально (но тоже не везде mail.ru -- ok, freemail -- телнетом
 > заходит, мышонком глючит). По 80 и остальным -- задница.
 
     как прокся настроена?
 
 > squid тоже как-то хитро пускает (страницы работают, icq не хочет).
 
     настройку squid тоже было бы неплохо показать.
 
 > Что ни делал -- толку ноль:
 
 > - сначала дал имя сервера 190.9.129.50 и клиента 190.9.129.55 (правила,
 > вроде должны пропускать без 2000 и 2100) -- ситуация описанная выше.
 
     точнее, наверное, ты rl0 назначил другой ip адрес, да? :)
     знай, легче читать вывод ifconfig -au, чем то, что ты и кому дал :)
 
 > - Перекомпилил ядро с поддержкой моста и вколючил мост (options BRIDGE) и
 > добавил в /etc/sysctl.conf: nk.ether.bridge=1
 > net.link.ether.bridge_cfg=rl0 ,ppp0 , следуя указаниям handbook'а.
 > Ситуция не изменилась и к локалке я доступа не слал иметь.
 
     это вообще зря.
 
 > - Думал, что не нравиться ей ситуация с IP из одного диапазона не неск.
 > интерфейсах и поменял для сервера dialin на 192.168.1.100 и любой для
 > клиента. Подправил правила.. Ситуация не изменилась.
 
     на чем и как делаешь dialin, показывай-рассказывай.
 
 > М.б. я зря грешу на fw? Пробовал вставлять 00555 allow ip from any to any
 > результат нулевой.. М.б. кто-нибудь сможет что-нибудь посоветовать? Если
 > как-то криво объяснил -- звиняйте. Только начинаю более-менее серьезно
 > изучать эхотаг.
 
 >    P.S. Локалка работает как надо. :)
 
 > # ipfw list
 
     странно у тебя правила идут, странно. rc.conf покажешь?
 
 > 00010 deny log logamount 10 ip from any to 190.9.129.0/24 in recv rl1
 > 00100 allow ip from any to any via lo0
 
 > 00300 allow icmp from any to 71.155.111.94 in recv rl1 icmptype
 > 0,3,4,11,12
 > 00310 allow icmp from 71.155.111.94 to any out xmit rl1 icmptype 3,8,12
 > 00320 allow icmp from 71.155.111.94 to any out xmit rl1 frag
 > 00330 deny log logamount 10 icmp from any to any in recv rl1
 
     а это зачем? выкинь каку. вот прям с 300 и по 330 выкидывай.
 
 > 00400 divert 8668 ip from any to any via rl1
 
     сюда, всё правильно, вставь
 
 00555 allow ip from any to any
 
 > 00600 check-state
 > 00700 allow tcp from any to me 110 keep-state setup
 > 00790 allow ip from me to any keep-state
 > 01000 allow ip from 190.9.129.0/24 to any keep-state
 > 01010 allow ip from any to 190.9.129.0/24 keep-state
 > 02000 allow ip from 192.168.1.0/24 to any keep-state
 > 02100 allow ip from any to 192.168.1.0/24 keep-state
 
     вот сюда вставь правило
 
  65500 deny log ip from any to any
 
     и гляди, кто попадает и почему.
 
 > 65535 deny ip from any to any
 
     ну и... уже читал?
 
 http://www.freebsd.org/doc/ru/books/handbook/network-routing.html
 http://www.freebsd.org/doc/ru/books/handbook/network-natd.html
 
     ну и самое главное, конечно, почитай, как надо вопросы задавать:
 
     http://ln.com.ua/~openxs/articles/smart-questions-ru.html
 
     очень полезный документ.
     и еще дождись здешнего FAQ'а, там много чего написано.
 
  * bye
 
 ---
  * Origin: no sex until marriage! (c) Front242 (2:5059/20.5)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 ipfw   Dmitry Vinogradov   27 Oct 2004 02:05:20 
 ipfw   Alexander Lunyov   27 Oct 2004 17:31:48 
 ipfw   Alexander Lunyov   27 Oct 2004 18:10:42 
Архивное /ru.unix.bsd/2765417fa9df.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional