IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
toluolus
рядовой
Сообщения: 32
Зарегистрирован: 2008-02-09 11:18:59

Re: IPFW

Непрочитанное сообщение toluolus » 2010-05-18 21:59:16

Доброго времени суток.
Возможно вопрос не совсем в тему фаервола, но определенно к нему относится.
Поднял ipfw c /etc/rc.firewall передертым один к одному из статьи ув.Лисяры
Следующим этапом у меня по плану было поднятие какого нибудь ftp сервера.
Выбор пал на pure-ftpd.
Запуск проводил со следующими параметрами:

/usr/local/sbin/pure-ftpd -4 -A -B -E -M -U 022:022

Вроде бы перваночально все стартует. Однако при попытке подключения к серверу из винды(Total Commander) происходит следующие. Ftp запрашивает логин, затем пароль, а затем все замирает и заканчивается ошибкой с собщением о том, что время отведенное на подключение истекло.

В главной консоле на фре периодически вылезает ошибка pure-ftpd:(?@?) [ERROR] Unable to start a standalone server: [Permission denied]

В то же время ps -A |grep ftp показывает наличие запущенного процесса

Вы спросите и каким боком все это к фарволу? Так вот, если выполнить пару волшебных кооманд, а именно
ipfw flush
ipfw add allow tcp from any to any

FTP сервер начинает работать как часики... :unknown:

Помогите побороть данную проблемку плиз..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
whitediver
рядовой
Сообщения: 35
Зарегистрирован: 2010-04-06 22:47:24

Re: IPFW

Непрочитанное сообщение whitediver » 2010-05-18 22:42:27

Три раза порывался задать вопрос, пока настраивал ipfw, но все три проблемы оказались просто опечатками ^^' (сегодня утром только фряху поставил 8.0), а тут я что-то не пойму =\
Вот такой вот небольшой набор правил сделал

Код: Выделить всё

[0:55][root@free] # ipfw list
00100 allow ip from any to any via lo0
00110 deny ip from any to 127.0.0.0/8
00120 deny ip from 127.0.0.0/8 to any
00200 check-state
00210 deny ip from any to any frag
00220 deny tcp from any to any established
00300 allow tcp from any to any out via rl0 setup
00310 allow udp from any to any out via rl0 keep-state
00400 allow tcp from any to any dst-port 80 in via rl0 setup keep-state
00410 allow tcp from any to any dst-port 22 in via rl0 setup keep-state
00500 allow icmp from any to any
65535 deny ip from any to any
Машина пингуется, сайты сама пингует, по ssh могу на неё зайти и это отлично.
Хотел squid поставить, дай думаю порты обновлю, ан нет то что я наваял не пускает cvsup к серверам.
Отрубил файрволл (вот так sysctl net.inet.ip.fw.enable=0) и всё замечательно обновилось.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW

Непрочитанное сообщение hizel » 2010-05-18 23:14:01

Код: Выделить всё

-00300 allow tcp from any to any out via rl0 setup
+00300 allow tcp from any to any out via rl0 setup keep-state
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Amf
проходил мимо

Re: IPFW

Непрочитанное сообщение Amf » 2010-05-20 14:28:40

dikens3 писал(а):Ваш DNS сервер должен отдавать вашей сети на запрос mx.mydomain.ru IP-Адрес 192.168.4.2.
Поразбирался с ДНСом и выяснил, что мой ДНС является кэширующим для моего же домена, а основной у провайдера. Пришла в голову мысль перенести домен на кэширующий сервер прова и у себя прописать тот же домен, но чтобы резолвился как внутренний адрес локальной сети. Это один из вариантов. Но вот, что действительно не понятно, так это: почему не получаеться телнетом зайти на свой же внешний адрес по 25 порту, проброшеному натом с шлюза 192.168.4.1 на почтарь 192.168.4.2. ради эксперимента поставил постфикс на шлюзе, и вуаля ... я зателнетился, но вот только не на почтарь, а на шлюз. Не могу понять что происходит, когда я с компа (192.168.4.3) делаю telnet 89.223.xx.xx 25 и попадаю на 25 порт шлюза, хотя в natd.conf написано:

Код: Выделить всё

redirect_port tcp 192.168.4.2:25 25
redirect_port tcp 192.168.4.2:110 110

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW

Непрочитанное сообщение dikens3 » 2010-05-21 8:41:57

Поразбирался с ДНСом и выяснил, что мой ДНС является кэширующим для моего же домена, а основной у провайдера.
НУ и нормально, пропиши в кэширующем соответствие или поставьте такой кэширующий сервер, который сумеет сделать это.
http://www.lissyara.su/articles/freebsd ... s/unbound/
Не могу понять что происходит, когда я с компа (192.168.4.3) делаю telnet 89.223.xx.xx 25 и попадаю на 25 порт шлюза
Думайте, проверяйте IPFW и т.п.

P.S. Создавайте отдельную тему уже для своих вопросов.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

toluolus
рядовой
Сообщения: 32
Зарегистрирован: 2008-02-09 11:18:59

Re: IPFW

Непрочитанное сообщение toluolus » 2010-05-22 8:23:37

toluolus писал(а):Доброго времени суток.
Возможно вопрос не совсем в тему фаервола, но определенно к нему относится.
Поднял ipfw c /etc/rc.firewall передертым один к одному из статьи ув.Лисяры
Следующим этапом у меня по плану было поднятие какого нибудь ftp сервера.
Выбор пал на pure-ftpd.
Запуск проводил со следующими параметрами:

/usr/local/sbin/pure-ftpd -4 -A -B -E -M -U 022:022

Вроде бы перваночально все стартует. Однако при попытке подключения к серверу из винды(Total Commander) происходит следующие. Ftp запрашивает логин, затем пароль, а затем все замирает и заканчивается ошибкой с собщением о том, что время отведенное на подключение истекло.

В главной консоле на фре периодически вылезает ошибка pure-ftpd:(?@?) [ERROR] Unable to start a standalone server: [Permission denied]

В то же время ps -A |grep ftp показывает наличие запущенного процесса

Вы спросите и каким боком все это к фарволу? Так вот, если выполнить пару волшебных кооманд, а именно
ipfw flush
ipfw add allow tcp from any to any

FTP сервер начинает работать как часики... :unknown:

Помогите побороть данную проблемку плиз..
Очень прошу помощи .. Еще несколько дней этой головоломки не принесли значимых результатов. :(

toluolus
рядовой
Сообщения: 32
Зарегистрирован: 2008-02-09 11:18:59

Re: IPFW

Непрочитанное сообщение toluolus » 2010-05-22 9:46:26

Вопрос снят.. Все решилось. :smile:

alone
проходил мимо
Сообщения: 1
Зарегистрирован: 2010-05-23 8:03:14

Re: IPFW

Непрочитанное сообщение alone » 2010-05-23 8:20:09

Привет всем.
Наткнулся на ваш сайт, когда искал материал для Дипломного проекта, и нашел здесь просто тонны требующейся информации. Спасибо огромное что его сделали. :) Меня очень заинтересовала статья про IPFW. Прочитал и попробывал реализовать, все получилось, так что очередное спасибо. :)
Но вот в кусочке ниже:
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
Мне не понятно что мы запрещаем,а именно "автоконфигуреную частную сеть", "мультикастовые рассылки". Что такое думал погуглю и разберусь, но на подобные запросы мне гугл не дает ответов :) вот и прошу пояснить что это за рассылки и сети, или же поделиться ссылками, где можно будет прочитать :) Понимаю, что вопрос может звучать глупо, но просто я сравнительно недавно начал этим всем заниматься :) Заранее спасибо

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-05-24 10:34:23

Возник вопрос по IPFW+limit src-addr+keep-state. Но тему создал в другом месте. Если кто знает подскажите пожалуйста. http://forum.lissyara.su/viewtopic.php?f=4&t=26390

ajak
сержант
Сообщения: 216
Зарегистрирован: 2010-04-12 22:02:25

Re: IPFW

Непрочитанное сообщение ajak » 2010-07-12 14:23:59

=============================================================================

Эмммм......... Ну общем у меня такая же хрень, которая обсуждалась в начале. Прочел я 2 страницы, тыкал тыкал - ничего не получилось. : (
Фря- 6.1 release
Ядро собрано так -firewall, firewall_verbose,verbose_limit,firewall_forward,ipdivert,dummynet
Естестенно всё написано правильно, иначе ядро бы не собралось.

В общем пишу ipfw show -
65535 0 0 deny ip from any to any

и теперь нету инета,всё режется, скрипт есть rc.firewall, в rc.conf прописан путь до скрипта.
:unknown:

ajak
сержант
Сообщения: 216
Зарегистрирован: 2010-04-12 22:02:25

Re: IPFW

Непрочитанное сообщение ajak » 2010-07-12 14:28:20

65535 0 0 deny ip from any to any
я даже не пойму где это правило прописано
а ipfw zero 65535 - не помогает

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-07-12 18:00:43

это правило всегда есть автоматом при запрещающем фаерволе, а вы собрали ядро с поддержкой запрещающего фаера. Не может быть чтобы этот топик вам не помог разобраться...почитайте вот тут http://www.lissyara.su/articles/freebsd/tuning/ipfw/ в своё время я начинал с него, но не тупо передрав конфиг, а с добовлением своего. Так или иначе, конфиг работает, за исключением мелочей. ipfw zero только сбрасывает счётчик правила....какой смысл сбрасывать счётчик у правила которое всегда по дефолту??? это вам мало что даст на начальном этапе понимания файрвола. Если уж хотите совета, то предоставьте ваши конфиги в том числе и ядра.

Аватара пользователя
gekz
мл. сержант
Сообщения: 94
Зарегистрирован: 2010-04-27 10:06:57

Re: IPFW

Непрочитанное сообщение gekz » 2010-07-14 3:58:49

подскажите
можно ли с помощью ipfw резать скорость на определённом порту?
или я слишком много хочу?
есть клиент, с локалки у него инет режется ng_car
задача, пробросить порт для юзания удалённого рабочего стола с внешки но не на весь канал, а на определённую скорость
можно конечно уходя домой подымать ему инет
а на серваке делать проброс не влокальную сеть, а в пппое адрес, выданный ему билингом
но как то это стрёмно и не надёжно
подскажите а? :smile:

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-07-14 9:25:33

если чесно с ng_car не знаком...но в ipfw есть шейпер dummynet резать он умеет и по портам и по адресам. Предварительно нужно собрать ядро с параметрами

Код: Выделить всё

options DUMMYNET
options hz=1000

Аватара пользователя
gekz
мл. сержант
Сообщения: 94
Зарегистрирован: 2010-04-27 10:06:57

Re: IPFW

Непрочитанное сообщение gekz » 2010-07-14 15:24:54

есть это в ядре
порт пробросил, уд раб стол работает
осталось резануть скорость
может кто знает хороший ресурс, где почитать по думминет?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-07-14 16:37:23

А зачем вам резать скорость уд раб стола??? Там ведь и так понты кушает....

Аватара пользователя
gekz
мл. сержант
Сообщения: 94
Зарегистрирован: 2010-04-27 10:06:57

Re: IPFW

Непрочитанное сообщение gekz » 2010-07-15 0:32:26

у радмина например можно файлы гонять
думаю дальше объяснять не стоит?:)

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-07-15 8:46:58

аа ну так...радмин а не рдп...я под уд раб стол подразумиваю только рдп. Покажите ваш набор правил ...я подскажу как резать скорость по определенному порту

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2010-07-15 20:40:18

RDP, вообще-то, штатно позвляет подрубить локальные диски и звук в удалённую машину.
можно по каналу класть к себе исошнички, например =)))
музычку слушать, с сервера у себя...
Убей их всех! Бог потом рассортирует...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: IPFW

Непрочитанное сообщение mediamag » 2010-07-16 16:18:12

ну тогда чтото типа

Код: Выделить всё

$fwcmd add 1 pipe 1 tcp from not ${intnet} to 1.2.3.4 3389 out
$fwcmd pipe 1 config bw 256Kbit/s mask dst-ip 0xffffffff
$fwcmd add 2 pipe 2 ip from 1.2.3.4 3389 to not me in
$fwcmd pipe 2 config bw 256Kbit/s mask src-ip 0xffffffff

Sallaxer
проходил мимо

не могу работать с почтой

Непрочитанное сообщение Sallaxer » 2010-08-03 12:08:02

Здравствуйте.
Имеется проблема - не могу заставить работать почтовик (The Bat) внутри локалки.
Имеем FreeBSD 7.2 ipfw + squid. Подключено 2 провайдера.
один комп вылазит в инет мимо squid (192.168.0.25) На нем почтовик работает, на всей остальной локалке - нет

Код: Выделить всё

00001     0       0 allow tcp from any to ${IpOut} dst-port 25 in via sr0 setup
00002     0       0 allow tcp from any to ${IpOut} dst-port 110 in via sr0 setup
00010     0       0 nat 125 tcp from 192.168.0.101 3389 to any xmit ${IpOut2}
00011     0       0 skipto 50 tcp from 192.168.0.101 3389 to any xmit ${IpOut2}
00012     0       0 nat 126 tcp from 192.168.0.101 3389 to any xmit ${IpOut}
00013     0       0 skipto 50 tcp from 192.168.0.101 3389 to any xmit ${IpOut}
00020     0       0 nat 124 icmp from any to any recv is0
00021     0       0 skipto 30 icmp from any to any recv is0
00022     0       0 nat 124 tcp from any to me dst-port 1025-65535 recv is0
00023   109   20558 nat 124 udp from any to me dst-port 1025-65535 recv is0
00024     0       0 nat 124 icmp from 192.168.0.0/23 to any xmit is0
00025     0       0 skipto 30 icmp from 192.168.0.0/23 to any xmit is0
00026     0       0 nat 124 ip4 from table(2) 1025-65535 to any xmit is0
00027     0       0 nat 124 ip4 from table(3) 1025-65535 to any xmit is0
00030     0       0 nat 125 icmp from any to any recv 78.29.8.62
00031     0       0 skipto 40 icmp from any to any recv 78.29.8.62
00032     0       0 nat 125 tcp from any to me dst-port 1025-65535 recv ${IpOut2}
00033     0       0 nat 125 udp from any to me dst-port 1025-65535 recv ${IpOut2}
00034     0       0 nat 125 icmp from 192.168.0.0/23 to any xmit ${IpOut2}
00035     0       0 skipto 40 icmp from 192.168.0.0/23 to any xmit ${IpOut2}
00036     0       0 nat 125 ip4 from table(2) 1025-65535 to any xmit ${IpOut2}
00037     0       0 nat 125 ip4 from table(3) 1025-65535 to any xmit ${IpOut2}
00037     0       0 nat 125 ip4 from 192.168.100.0/24 to any xmit 78.29.8.62
00040    25    1636 nat 126 icmp from any to any recv ${IpOut}
00041     1      56 skipto 50 icmp from any to any recv ${IpOut}
00042  6445 6726004 nat 126 tcp from any to me dst-port 1025-65535 recv ${IpOut}
00043   115   10756 nat 126 udp from any to me dst-port 1025-65535 recv ${IpOut}
00044     0       0 nat 126 icmp from 192.168.0.0/23 to any xmit ${IpOut}
00045     0       0 skipto 50 icmp from 192.168.0.0/23 to any xmit ${IpOut}
00046   485   69142 nat 126 ip4 from table(2) 1025-65535 to any xmit ${IpOut}
00047     0       0 nat 126 ip4 from 192.168.100.0/24 to any xmit ${IpOut}
00100  8344 1501346 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
01100   511   71101 allow ip4 from table(2) to not me
01200     0       0 allow ip4 from table(3) to not me
01300  1054  310322 allow ip4 from not me to table(2)
01400     0       0 allow ip4 from not me to table(3)
01500   474   91165 allow tcp from 192.168.0.101 3389 to any
01600   452   77843 allow tcp from any to 192.168.0.101 dst-port 3389
02100  6139 6550284 allow ip4 from me to 192.168.0.0/23 xmit lan0
02200  3992  317816 allow ip4 from 192.168.0.0/23 to me recv lan0
03100     0       0 allow ip4 from 192.168.0.0/23 to table(6) dst-port 53
03100     0       0 allow ip4 from table(6) 53 to 192.168.0.0/23
03200   523   47071 allow ip4 from 192.168.0.0/23 to 192.168.0.0/23 via lan0
03300  1080   78863 deny ip4 from 192.168.0.0/23 to not me
03400     0       0 deny ip4 from not me to 192.168.0.0/23
65000 11550 7082891 allow ip4 from any to any
65533     0       0 deny log ip4 from any to any
65534    11     792 deny log ip from any to any
65535     8     482 deny ip from any to any
Что я не так прописал? Почему в локалке не хочет отправлять и принимать почту?

wowan400
ефрейтор
Сообщения: 61
Зарегистрирован: 2009-09-17 11:07:45

Re: IPFW

Непрочитанное сообщение wowan400 » 2010-08-30 21:52:55

Здравствуйте.
Ест проблема не работает ядерный нат во FreeBSD 8.1 со следующими правилами:

Код: Выделить всё

9:38 [stat]#cat /etc/ipfw.rules
###################### start ipfw rules script ######################
# Delete all rules
#####################################################################
/sbin/ipfw -q -f flush
#Set default
cmd="/sbin/ipfw -q "
ks="keep-state"
pppOut="tun0"
LanIn="vr1"


####################################################################
# restriction allow all
####################################################################
#$cmd add 00005 allow all from any to any



####################################################################
# restriction on Loopback Interface
####################################################################
$cmd add  00010 allow all from any to any via lo0

####################################################################
#Allow the packet through if it has previous been added to the
#the "dynamic" rules table by allow keep-state statement.
####################################################################
$cmd add 00025 check-state

####################################################################
# Deny 127.0.0.0/8 to any and deny to 127.0.0.0/8
####################################################################
$cmd add 00020 deny all from any to 127.0.0.0/8
$cmd add 00021 deny all from 127.0.0.0/8 to any

####################################################################
#Deny all inbound traffic from non-routable reserved address space
####################################################################
#$cmd add 00030 deny all from any to 10.0.0.0/8 in via ${pppOut}
$cmd add 00031 deny all from any to 172.16.0.0/12 in via ${pppOut}
#$cmd add 00032 deny all from any to 192.168.0.0/16 in via ${pppOut}
$cmd add 00033 deny all from any to 0.0.0.0/8 in via ${pppOut}
$cmd add 00034 deny all from any to 169.254.0.0/16 in via ${pppOut}
$cmd add 00035 deny all from any to 240.0.0.0/4 in via ${pppOut}
$cmd add  00036 deny icmp from any to any frag
$cmd add 00037 deny log icmp from any to 255.255.255.255 in via ${pppOut}
$cmd add  00038 deny log icmp from any to 255.255.255.255 out via ${pppOut}

####################################################################
# Deny all inound traffic
####################################################################
#$cmd add 00040 deny all from 10.0.0.0/8 to any out via ${pppOut}
$cmd add  00041 deny all from 172.16.0.0/12 to any out via ${pppOut}
#$cmd add 00042 deny all from 192.168.0.0/16 to any out via ${pppOut}
$cmd add 00043 deny all from 0.0.0.0/8 to any out via ${pppOut}
$cmd add 00044 deny all from 169.254.0.0/16 to any out via ${pppOut}
$cmd add 00045 deny all from 240.0.0.0/4i to any out via ${pppOut}

####################################################################
#Allow Established connect
####################################################################
#$cmd add 00050 allow tcp from any to any established

###################################################################
#Allow Server Internet
###################################################################
#$cmd add 00060 allow all from me to any out xmit ${pppOut}
$cmd add 00060 allow all from me to any out via ${pppOut} setup ${ks}

####################################################################
#Allow DNS Server
####################################################################
$cmd add 00050 allow udp from any 53 to any via ${pppOut}
$cmd add 00051 allow udp from any to any 53 via ${pppOut}

####################################################################
#Allow NTP Server
####################################################################
$cmd add 00060 allow udp from any to any 123 via ${pppOut}
$cmd add 00061 allow udp from any 123 to any via ${pppOut}

####################################################################
#Allow SSH Server
####################################################################
$cmd add 00070 allow tcp from any to me 22 in via ${pppOut} setup limit src-addr 2

####################################################################
# Allow ICMP traffic
####################################################################
$cmd add 00080 allow icmp from any to any icmptypes 0,8,11

####################################################################
# Allow traffic LAN
####################################################################
$cmd add 00100 allow tcp from any to any via ${LanIn}
$cmd add 00101 allow udp from any to any via ${LanIn}
$cmd add 00102 allow icmp from any to any via ${LanIn}

####################################################################
# NAT Kernel
####################################################################
$cmd nat 1 config log if ${pppOut} reset
#$cmd nat 1 config log if ${pppOut} reset same_ports deny_in
$cmd add 00110 nat 1 ip from any to any via ${pppOut}
#$cmd add 00110 nat 1 ip from any 25,110,5190  to any via ${pppOut}
#$cmd add 00111 nat 1 ip from any to any 110,25,5190 via ${pppOut}

Код: Выделить всё

9:37 [stat]#ipfw show
00010  230  29972 allow ip from any to any via lo0
00020    0      0 deny ip from any to 127.0.0.0/8
00021    0      0 deny ip from 127.0.0.0/8 to any
00025    0      0 check-state
00031    0      0 deny ip from any to 172.16.0.0/12 in via tun0
00033    0      0 deny ip from any to 0.0.0.0/8 in via tun0
00034    0      0 deny ip from any to 169.254.0.0/16 in via tun0
00035    0      0 deny ip from any to 240.0.0.0/4 in via tun0
00036    0      0 deny icmp from any to any frag
00037    0      0 deny log logamount 5 icmp from any to 255.255.255.255 in via tun0
00038    0      0 deny log logamount 5 icmp from any to 255.255.255.255 out via tun0
00041    0      0 deny ip from 172.16.0.0/12 to any out via tun0
00043    0      0 deny ip from 0.0.0.0/8 to any out via tun0
00044    0      0 deny ip from 169.254.0.0/16 to any out via tun0
00045    0      0 deny ip from 240.0.0.0/4 to any out via tun0
00050  129  27348 allow udp from any 53 to any via tun0
00051  135   9816 allow udp from any to any dst-port 53 via tun0
00060 2070 920422 allow ip from me to any out via tun0 setup keep-state
00060    0      0 allow udp from any to any dst-port 123 via tun0
00061    0      0 allow udp from any 123 to any via tun0
00070    0      0 allow tcp from any to me dst-port 22 in via tun0 setup limit src-addr 2
00080    4    132 allow icmp from any to any icmptypes 0,8,11
00100 2314 925004 allow tcp from any to any via vr1
00101   62   6873 allow udp from any to any via vr1
00102    0      0 allow icmp from any to any via vr1
00110  326  16496 nat 1 ip from any to any via tun0
65535  278  13816 deny ip from any to any
при этом нат работал в 8.0
:cz2:

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW

Непрочитанное сообщение hizel » 2010-08-30 22:36:33

что с one_pass ?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

wowan400
ефрейтор
Сообщения: 61
Зарегистрирован: 2009-09-17 11:07:45

Re: IPFW

Непрочитанное сообщение wowan400 » 2010-08-30 23:28:57

one_pas ставил 1 и 0 не помогает. Вот еще это все работает через PPP поддержку NAT включил
ppp.conf

Код: Выделить всё

u3g:
 nat enable yes
 set device /dev/cuaU0.0

 set speed 460800
 set timeout 0
 set phone "*99***1#"
 set authname
 set authkey

 set dial "ABORT BUSY TIMEOUT 2 \
          \"\" \
          AT OK-AT-OK \
          AT+CFUN=1 OK-AT-OK \
          AT+CMEE=2 OK-AT-OK \
          AT+CSQ OK \
          AT+CGDCONT=1,\\\"IP\\\",\\\"internet\\\" OK \
          AT+CGACT? OK-AT-OK \
          AT+CGATT? OK \
          AT+CGCLASS? OK \
          AT+COPS? OK \
          ATD*99***1# CONNECT"

# set login
 set vj slotcomp off
 set crtscts on
# enable dns
# resolv rewrite

 set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
 add default HISADDR

rc.conf

Код: Выделить всё

hostname="*******"
ifconfig_vr1="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"

ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES"
ppp_profile="u3g"

firewall_enable="YES"
firewall_script="/etc/ipfw.rules"

named_enable="YES"
named_program="/usr/sbin/named"
named_flags=" -4 -u bind -c /etc/namedb/named.conf"
........


вообщем не работает не знаю чего и делать

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW

Непрочитанное сообщение hizel » 2010-08-30 23:44:32

а зачем два nat-а, оставьте один
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.