|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vitaly Ostapenko 2:5020/400 21 Jun 2006 11:17:26
To : Ilya Kulagin
Subject : Re: Шифрование трафика
--------------------------------------------------------------------------------
Добрый день, Ilya
Ilya Kulagin пишет:
> Да. В смысле, именно что "ещё что-нибудь".
>
> VO> ipfw add allow tcp from any to any dst-port 1723,47
>
> Плохой, неправильный метод. Во-первых, from any to any лишний по любому.
> Во-вторых, TCP:47 это ни разу не GRE. В-третьих, ответы TCP идут не на
> dst-port 1723, а с src-port 1723. Чтобы текли tcp соединения, лучше делать
> так: ipfw add 1000 allow tcp from any to me 1723 setup ipfw add 500 allow tcp
> from any to me established ipfw add 600 allow tcp from me to any (тут тоже
> можно сказать established, но лично я себе доверяю) GRE - это не TCP. Это
> отдельный протокол. Как ICMP, например. Поэтому надо делать ipfw add 400 allow
> gre from any to me ipfw add 400 allow gre from me to any Hа будущее. Hужны
> хорошие привычки. Как минимум - читать внимательно - нумеровать правила ipfw -
> не забывать, что (from any to any) распространяется на транзитный траффик,
> в отличие от пары (from me to any) || (from any to me) - привыкать
> пользоваться диагностикой, в частности: ipfw show , netstat -rn , tcpdump -n
> -i <имя>
Спасибо за совет, а особенно за ссылку
http://www.kuzbass.ru/docs/stevens/ru-html/.
Вот хотелось бы узнать в чём проблема.
Есть сетка 192.168.1.0/24, FreeBSD 5.4 внутренний интерфейс
192.168.1.1, внешний интерфейс 217.20.167.118. В сети настроен
контроллер домена 192.168.1.2.
Часть правил ipfw:
ipfw 1000 add allow tcp from any to me 1723 setup
ipfw 2000 add allow tcp from any to me established
ipfw 3000 add allow gre from any to me
ipfw 4000 add allow gre from me to any
cat mpd.conf:
default:
load pptp0
pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.1.1/32 192.168.1.72/32
load pptp_standart
pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 192.168.1.2
set ipcp nbns 192.168.1.2
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self 217.20.167.118
set pptp enable incoming
set pptp disable originate
set iface enable tcpmssfix
set link mtu 1460
При создании соединения с внутреннеё сети (192.168.1.0/24) через
внешний интерфейс 217.20.167.118 всё проходит нормально, но когда
подключаются с удалённого офиса, то подключение идёт, а связь обрывается
на проверке имени и пароля. В чём дело не пойму. Хотя есть подозрения по
поводу firewall'a провайдера или в удалённом офисе.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
