проблемы с cs1.6

Раздел посвящён игровым серверам и игрушкам вообще.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

проблемы с cs1.6

Непрочитанное сообщение harmless » 2008-01-26 23:50:22

стоит на шлюзе сервер кс 1.6, работает отлично(спасибо Ravena2000"у)!!!
проблема вот в чем - юзеры сети не могут играть на инетовских серверах!!! :?
по стотье лиса открыл порты на контру

Код: Выделить всё

# COUNTER-STRIKE
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 in via ${LanOut} setup
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 out via ${LanIn} setup
${fwcmd} add allow udp from ${NetIn}/24 to any 27015-27025 in via ${LanIn} setup
${fwcmd} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut} setup
но не помагает! :twisted:
не знаю что делать!
плз помогите конфиг фаера и все остальные тут http://forum.lissyara.su/viewtopic.php? ... 119#p51119

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Raven2000
-=_UNIX_=-
Сообщения: 4433
Зарегистрирован: 2006-10-29 17:59:13
Откуда: Там, где нас нет.
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение Raven2000 » 2008-01-28 10:05:08

Те как я понял обычные клиенты КС маздаевские из твоей локалки не могут с инет серверами КС соеденится?
Сделай сначала просто 1 правило разрешающее все :) те пока фаер выруби и посмотри играет без него или нет? Если все ок врубай фаер и смотри что блокируется фаером. Далее бум думать :)
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение FreePascal » 2008-01-28 16:35:41

Код: Выделить всё

${FwCMD} add allow udp from ${IpOut} to any 27000-27020 out via ${LanOut}
${FwCMD} add allow udp from any 27000-27020 to ${NetIn}/${NetMask} in via ${LanOut}
setup не нужно для UDP ето специфика TCP

P.S. 5 балов тому кто скажет почему внутренние адреса нужно впускать через внешний инфейс????

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение Alex Keda » 2008-01-28 18:17:08

однако, в ipfw2 оно понимает и обрабатывает его =)
Убей их всех! Бог потом рассортирует...

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение harmless » 2008-02-02 2:40:59

вот настройки фаера

Код: Выделить всё

#!/bin/sh
######### USER 10,11,15 ##########
${fwcmd} add pipe 1 ip from not ${NetIn}/${NetMask} to ${User}.10,${User}.11,${User}.15
${fwcmd} pipe 1 config bw 1024Kbit/s
${fwcmd} add pipe 2 ip from ${User}.10,${User}.11,${User}.15 to not me
${fwcmd} pipe 2 config bw 512Kbit/s
########## USER 12 ##########
${fwcmd} add pipe 5 ip from not ${NetIn}/${NetMask} to ${User}.12
${fwcmd} pipe 5 config bw 64Kbit/s
${fwcmd} add pipe 6 ip from ${User}.12 to not me
${fwcmd} pipe 6 config bw 16Kbit/s
########## USER 18 ##########
${fwcmd} add pipe 17 ip from not ${NetIn}/${NetMask} to ${User}.18
${fwcmd} pipe 17 config bw 64Kbit/s
${fwcmd} add pipe 18 ip from ${User}.18 to not me
${fwcmd} pipe 18 config bw 16Kbit/s
########## USER 19 ##########
${fwcmd} add pipe 19 ip from not ${NetIn}/${NetMask} to ${User}.19
${fwcmd} pipe 19 config bw 64Kbit/s
${fwcmd} add pipe 20 ip from ${User}.19 to not me
${fwcmd} pipe 20 config bw 16Kbit/s
########## USER 20 ##########
${fwcmd} add pipe 21 ip from not ${NetIn}/${NetMask} to ${User}.20
${fwcmd} pipe 21 config bw 256Kbit/s
${fwcmd} add pipe 22 ip from ${User}.20 to not me
${fwcmd} pipe 22 config bw 64Kbit/s
########## DINAMYC RIGHT ##########
${fwcmd} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0
# Вводим запреты:
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# рубим пакеты типа от внутренней сети, но на внешнем интерфейсе
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
# рубим пакеты типа от внешней сети, но на внутреннем интерфейсе
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}
# режем частные сети на внешнем интерфейсе - по легенде он у нас 
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
# Делаем NAT (трансляцию сетевых адресов) всему
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add allow ip from 192.168.2.0/24 to any out via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# Разрешаем траффик внутренней сети на внутреннем интерфейсе (входящий)
${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
# Разрешаем траффик внутренней сети на внутреннем интерфейсе (исходящий)
${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}
# разрешаем tcp-пакеты по уже установленным соединениям
${FwCMD} add allow tcp from any to any established
# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем снаружи соединяться с 53 портом (TCP DNS)
${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup
# разрешаем SSH
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup
# пассивный FTP
# для узнавания портранджа по которому будет работать, лезем в 
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# COUNTER-STRIKE (без комментариев :))
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} in via ${LanOut}
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} out via ${LanIn}
${FwCMD} add allow udp from ${NetIn} to any 27015-27025 in via ${LanIn}
${FwCMD} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut}
# Блокируем все остальные попытки соединения с занесением в логи
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup
########### BEGIN USERS   ###############################
# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.10 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.11 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.12 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.14 to not ${NetIn} in via ${LanIn} setup
############# END USERS #################################
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

под этими настройками клиенты попадают на сервера кс в нете!
но!!!!

вот возникает такая проблема:
в списке серверов не видно ни одного сервера! :?

думаю это все из-за

Код: Выделить всё

# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
и

Код: Выделить всё

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
:? :? :?
а может я ошибаусь глубоко!хз
подумаем вместе! :P

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение harmless » 2008-02-23 2:03:46

Доброе время суток!
Я так вижу что никто не может мне помочь с этой проблемой! Или как??!
Вот услышал что список серверов в кс использует отдельный порт-не подскажет кто какой??
Жду ваших ответов!
П.С.Очень надеюсь на помощь, юзверы сьедают живьем! :twisted:

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение FreePascal » 2008-02-23 2:20:34

Я тебе дал 2 правила которые у меня реально работают!!!
Включай log в правили фаера, tcpdump и смотри где ошибка.

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Re: проблемы с cs1.6

Непрочитанное сообщение FreePascal » 2009-12-18 9:51:18

FreePascal писал(а):

Код: Выделить всё

${FwCMD} add allow udp from ${IpOut} to any 27000-27020 out via ${LanOut}
${FwCMD} add allow udp from any 27000-27020 to ${NetIn}/${NetMask} in via ${LanOut}
setup не нужно для UDP ето специфика TCP

P.S. 5 балов тому кто скажет почему внутренние адреса нужно впускать через внешний инфейс????
Итак почему же?
Картинка с мана:

Код: Выделить всё

                  ^    to upper layers    V
                  |                       |
                  +----------->-----------+
                  ^                       V
            [ip(6)_input]           [ip(6)_output]     net.inet.ip.fw.enable=1
                  |                       |
                  ^                       V
            [ether_demux]      [ether_output_frame]  net.link.ether.ipfw=1
                  |                       |
                  +-->--[bdg_forward]-->--+            net.link.ether.bridge_ipfw=1
                  ^                       V
                  |      to devices       |
Левая и правая вертикальные линии представляют собой входящий и исходящий канал.
Представляем их двумя несвязанными трубами.

А теперь упростим взяв только входящий канал.

Код: Выделить всё

   device
      V
      |
      V
      |
       >-->----
               | nat
        <--<---
       V
       |
       V
       |
Итак, наш пакет на входе, там где device, содержит src_addr = "адрес машины в интернете, которая нам отвечает" и
dst_addr = "внешний IP нашего шлюза" и в таком виде попадает на NAT.
После NATa src_addr тот же, но вот dst_addr = "IP машины в нашей локальной сети".
Получается некий конфуз -- пакет находиться во входящей трубе внешнего интерфейса и с IP внутренней сети.
Пакет продолжает следовать по трубе и пока не попадет на разрешающее правило, не будет маршрутизирован и
не попадет в трубу исходящего канала внутреннего интерфейса.
Вот и разрешаем пакет вторым как-бы не правильным правилом.