IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 32
- Зарегистрирован: 2008-02-09 11:18:59
Re: IPFW
Доброго времени суток.
Возможно вопрос не совсем в тему фаервола, но определенно к нему относится.
Поднял ipfw c /etc/rc.firewall передертым один к одному из статьи ув.Лисяры
Следующим этапом у меня по плану было поднятие какого нибудь ftp сервера.
Выбор пал на pure-ftpd.
Запуск проводил со следующими параметрами:
/usr/local/sbin/pure-ftpd -4 -A -B -E -M -U 022:022
Вроде бы перваночально все стартует. Однако при попытке подключения к серверу из винды(Total Commander) происходит следующие. Ftp запрашивает логин, затем пароль, а затем все замирает и заканчивается ошибкой с собщением о том, что время отведенное на подключение истекло.
В главной консоле на фре периодически вылезает ошибка pure-ftpd:(?@?) [ERROR] Unable to start a standalone server: [Permission denied]
В то же время ps -A |grep ftp показывает наличие запущенного процесса
Вы спросите и каким боком все это к фарволу? Так вот, если выполнить пару волшебных кооманд, а именно
ipfw flush
ipfw add allow tcp from any to any
FTP сервер начинает работать как часики...
Помогите побороть данную проблемку плиз..
Возможно вопрос не совсем в тему фаервола, но определенно к нему относится.
Поднял ipfw c /etc/rc.firewall передертым один к одному из статьи ув.Лисяры
Следующим этапом у меня по плану было поднятие какого нибудь ftp сервера.
Выбор пал на pure-ftpd.
Запуск проводил со следующими параметрами:
/usr/local/sbin/pure-ftpd -4 -A -B -E -M -U 022:022
Вроде бы перваночально все стартует. Однако при попытке подключения к серверу из винды(Total Commander) происходит следующие. Ftp запрашивает логин, затем пароль, а затем все замирает и заканчивается ошибкой с собщением о том, что время отведенное на подключение истекло.
В главной консоле на фре периодически вылезает ошибка pure-ftpd:(?@?) [ERROR] Unable to start a standalone server: [Permission denied]
В то же время ps -A |grep ftp показывает наличие запущенного процесса
Вы спросите и каким боком все это к фарволу? Так вот, если выполнить пару волшебных кооманд, а именно
ipfw flush
ipfw add allow tcp from any to any
FTP сервер начинает работать как часики...
Помогите побороть данную проблемку плиз..
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- whitediver
- рядовой
- Сообщения: 35
- Зарегистрирован: 2010-04-06 22:47:24
Re: IPFW
Три раза порывался задать вопрос, пока настраивал ipfw, но все три проблемы оказались просто опечатками ^^' (сегодня утром только фряху поставил 8.0), а тут я что-то не пойму =\
Вот такой вот небольшой набор правил сделал
Машина пингуется, сайты сама пингует, по ssh могу на неё зайти и это отлично.
Хотел squid поставить, дай думаю порты обновлю, ан нет то что я наваял не пускает cvsup к серверам.
Отрубил файрволл (вот так sysctl net.inet.ip.fw.enable=0) и всё замечательно обновилось.
Вот такой вот небольшой набор правил сделал
Код: Выделить всё
[0:55][root@free] # ipfw list
00100 allow ip from any to any via lo0
00110 deny ip from any to 127.0.0.0/8
00120 deny ip from 127.0.0.0/8 to any
00200 check-state
00210 deny ip from any to any frag
00220 deny tcp from any to any established
00300 allow tcp from any to any out via rl0 setup
00310 allow udp from any to any out via rl0 keep-state
00400 allow tcp from any to any dst-port 80 in via rl0 setup keep-state
00410 allow tcp from any to any dst-port 22 in via rl0 setup keep-state
00500 allow icmp from any to any
65535 deny ip from any to any
Хотел squid поставить, дай думаю порты обновлю, ан нет то что я наваял не пускает cvsup к серверам.
Отрубил файрволл (вот так sysctl net.inet.ip.fw.enable=0) и всё замечательно обновилось.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: IPFW
Код: Выделить всё
-00300 allow tcp from any to any out via rl0 setup
+00300 allow tcp from any to any out via rl0 setup keep-state
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
Re: IPFW
Поразбирался с ДНСом и выяснил, что мой ДНС является кэширующим для моего же домена, а основной у провайдера. Пришла в голову мысль перенести домен на кэширующий сервер прова и у себя прописать тот же домен, но чтобы резолвился как внутренний адрес локальной сети. Это один из вариантов. Но вот, что действительно не понятно, так это: почему не получаеться телнетом зайти на свой же внешний адрес по 25 порту, проброшеному натом с шлюза 192.168.4.1 на почтарь 192.168.4.2. ради эксперимента поставил постфикс на шлюзе, и вуаля ... я зателнетился, но вот только не на почтарь, а на шлюз. Не могу понять что происходит, когда я с компа (192.168.4.3) делаю telnet 89.223.xx.xx 25 и попадаю на 25 порт шлюза, хотя в natd.conf написано:dikens3 писал(а):Ваш DNS сервер должен отдавать вашей сети на запрос mx.mydomain.ru IP-Адрес 192.168.4.2.
Код: Выделить всё
redirect_port tcp 192.168.4.2:25 25
redirect_port tcp 192.168.4.2:110 110
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: IPFW
НУ и нормально, пропиши в кэширующем соответствие или поставьте такой кэширующий сервер, который сумеет сделать это.Поразбирался с ДНСом и выяснил, что мой ДНС является кэширующим для моего же домена, а основной у провайдера.
http://www.lissyara.su/articles/freebsd ... s/unbound/
Думайте, проверяйте IPFW и т.п.Не могу понять что происходит, когда я с компа (192.168.4.3) делаю telnet 89.223.xx.xx 25 и попадаю на 25 порт шлюза
P.S. Создавайте отдельную тему уже для своих вопросов.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 32
- Зарегистрирован: 2008-02-09 11:18:59
Re: IPFW
Очень прошу помощи .. Еще несколько дней этой головоломки не принесли значимых результатов.toluolus писал(а):Доброго времени суток.
Возможно вопрос не совсем в тему фаервола, но определенно к нему относится.
Поднял ipfw c /etc/rc.firewall передертым один к одному из статьи ув.Лисяры
Следующим этапом у меня по плану было поднятие какого нибудь ftp сервера.
Выбор пал на pure-ftpd.
Запуск проводил со следующими параметрами:
/usr/local/sbin/pure-ftpd -4 -A -B -E -M -U 022:022
Вроде бы перваночально все стартует. Однако при попытке подключения к серверу из винды(Total Commander) происходит следующие. Ftp запрашивает логин, затем пароль, а затем все замирает и заканчивается ошибкой с собщением о том, что время отведенное на подключение истекло.
В главной консоле на фре периодически вылезает ошибка pure-ftpd:(?@?) [ERROR] Unable to start a standalone server: [Permission denied]
В то же время ps -A |grep ftp показывает наличие запущенного процесса
Вы спросите и каким боком все это к фарволу? Так вот, если выполнить пару волшебных кооманд, а именно
ipfw flush
ipfw add allow tcp from any to any
FTP сервер начинает работать как часики...
Помогите побороть данную проблемку плиз..
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2010-05-23 8:03:14
Re: IPFW
Привет всем.
Наткнулся на ваш сайт, когда искал материал для Дипломного проекта, и нашел здесь просто тонны требующейся информации. Спасибо огромное что его сделали. Меня очень заинтересовала статья про IPFW. Прочитал и попробывал реализовать, все получилось, так что очередное спасибо.
Но вот в кусочке ниже:
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
Мне не понятно что мы запрещаем,а именно "автоконфигуреную частную сеть", "мультикастовые рассылки". Что такое думал погуглю и разберусь, но на подобные запросы мне гугл не дает ответов вот и прошу пояснить что это за рассылки и сети, или же поделиться ссылками, где можно будет прочитать Понимаю, что вопрос может звучать глупо, но просто я сравнительно недавно начал этим всем заниматься Заранее спасибо
Наткнулся на ваш сайт, когда искал материал для Дипломного проекта, и нашел здесь просто тонны требующейся информации. Спасибо огромное что его сделали. Меня очень заинтересовала статья про IPFW. Прочитал и попробывал реализовать, все получилось, так что очередное спасибо.
Но вот в кусочке ниже:
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
Мне не понятно что мы запрещаем,а именно "автоконфигуреную частную сеть", "мультикастовые рассылки". Что такое думал погуглю и разберусь, но на подобные запросы мне гугл не дает ответов вот и прошу пояснить что это за рассылки и сети, или же поделиться ссылками, где можно будет прочитать Понимаю, что вопрос может звучать глупо, но просто я сравнительно недавно начал этим всем заниматься Заранее спасибо
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: IPFW
Возник вопрос по IPFW+limit src-addr+keep-state. Но тему создал в другом месте. Если кто знает подскажите пожалуйста. http://forum.lissyara.su/viewtopic.php?f=4&t=26390
-
- сержант
- Сообщения: 216
- Зарегистрирован: 2010-04-12 22:02:25
Re: IPFW
=============================================================================
Эмммм......... Ну общем у меня такая же хрень, которая обсуждалась в начале. Прочел я 2 страницы, тыкал тыкал - ничего не получилось. : (
Фря- 6.1 release
Ядро собрано так -firewall, firewall_verbose,verbose_limit,firewall_forward,ipdivert,dummynet
Естестенно всё написано правильно, иначе ядро бы не собралось.
В общем пишу ipfw show -
65535 0 0 deny ip from any to any
и теперь нету инета,всё режется, скрипт есть rc.firewall, в rc.conf прописан путь до скрипта.
Эмммм......... Ну общем у меня такая же хрень, которая обсуждалась в начале. Прочел я 2 страницы, тыкал тыкал - ничего не получилось. : (
Фря- 6.1 release
Ядро собрано так -firewall, firewall_verbose,verbose_limit,firewall_forward,ipdivert,dummynet
Естестенно всё написано правильно, иначе ядро бы не собралось.
В общем пишу ipfw show -
65535 0 0 deny ip from any to any
и теперь нету инета,всё режется, скрипт есть rc.firewall, в rc.conf прописан путь до скрипта.
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: IPFW
это правило всегда есть автоматом при запрещающем фаерволе, а вы собрали ядро с поддержкой запрещающего фаера. Не может быть чтобы этот топик вам не помог разобраться...почитайте вот тут http://www.lissyara.su/articles/freebsd/tuning/ipfw/ в своё время я начинал с него, но не тупо передрав конфиг, а с добовлением своего. Так или иначе, конфиг работает, за исключением мелочей. ipfw zero только сбрасывает счётчик правила....какой смысл сбрасывать счётчик у правила которое всегда по дефолту??? это вам мало что даст на начальном этапе понимания файрвола. Если уж хотите совета, то предоставьте ваши конфиги в том числе и ядра.
- gekz
- мл. сержант
- Сообщения: 94
- Зарегистрирован: 2010-04-27 10:06:57
Re: IPFW
подскажите
можно ли с помощью ipfw резать скорость на определённом порту?
или я слишком много хочу?
есть клиент, с локалки у него инет режется ng_car
задача, пробросить порт для юзания удалённого рабочего стола с внешки но не на весь канал, а на определённую скорость
можно конечно уходя домой подымать ему инет
а на серваке делать проброс не влокальную сеть, а в пппое адрес, выданный ему билингом
но как то это стрёмно и не надёжно
подскажите а?
можно ли с помощью ipfw резать скорость на определённом порту?
или я слишком много хочу?
есть клиент, с локалки у него инет режется ng_car
задача, пробросить порт для юзания удалённого рабочего стола с внешки но не на весь канал, а на определённую скорость
можно конечно уходя домой подымать ему инет
а на серваке делать проброс не влокальную сеть, а в пппое адрес, выданный ему билингом
но как то это стрёмно и не надёжно
подскажите а?
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: IPFW
если чесно с ng_car не знаком...но в ipfw есть шейпер dummynet резать он умеет и по портам и по адресам. Предварительно нужно собрать ядро с параметрами
Код: Выделить всё
options DUMMYNET
options hz=1000
- Alex Keda
- стреляли...
- Сообщения: 35454
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: IPFW
RDP, вообще-то, штатно позвляет подрубить локальные диски и звук в удалённую машину.
можно по каналу класть к себе исошнички, например ))
музычку слушать, с сервера у себя...
можно по каналу класть к себе исошнички, например ))
музычку слушать, с сервера у себя...
Убей их всех! Бог потом рассортирует...
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: IPFW
ну тогда чтото типа
Код: Выделить всё
$fwcmd add 1 pipe 1 tcp from not ${intnet} to 1.2.3.4 3389 out
$fwcmd pipe 1 config bw 256Kbit/s mask dst-ip 0xffffffff
$fwcmd add 2 pipe 2 ip from 1.2.3.4 3389 to not me in
$fwcmd pipe 2 config bw 256Kbit/s mask src-ip 0xffffffff
-
- проходил мимо
не могу работать с почтой
Здравствуйте.
Имеется проблема - не могу заставить работать почтовик (The Bat) внутри локалки.
Имеем FreeBSD 7.2 ipfw + squid. Подключено 2 провайдера.
один комп вылазит в инет мимо squid (192.168.0.25) На нем почтовик работает, на всей остальной локалке - нет
Что я не так прописал? Почему в локалке не хочет отправлять и принимать почту?
Имеется проблема - не могу заставить работать почтовик (The Bat) внутри локалки.
Имеем FreeBSD 7.2 ipfw + squid. Подключено 2 провайдера.
один комп вылазит в инет мимо squid (192.168.0.25) На нем почтовик работает, на всей остальной локалке - нет
Код: Выделить всё
00001 0 0 allow tcp from any to ${IpOut} dst-port 25 in via sr0 setup
00002 0 0 allow tcp from any to ${IpOut} dst-port 110 in via sr0 setup
00010 0 0 nat 125 tcp from 192.168.0.101 3389 to any xmit ${IpOut2}
00011 0 0 skipto 50 tcp from 192.168.0.101 3389 to any xmit ${IpOut2}
00012 0 0 nat 126 tcp from 192.168.0.101 3389 to any xmit ${IpOut}
00013 0 0 skipto 50 tcp from 192.168.0.101 3389 to any xmit ${IpOut}
00020 0 0 nat 124 icmp from any to any recv is0
00021 0 0 skipto 30 icmp from any to any recv is0
00022 0 0 nat 124 tcp from any to me dst-port 1025-65535 recv is0
00023 109 20558 nat 124 udp from any to me dst-port 1025-65535 recv is0
00024 0 0 nat 124 icmp from 192.168.0.0/23 to any xmit is0
00025 0 0 skipto 30 icmp from 192.168.0.0/23 to any xmit is0
00026 0 0 nat 124 ip4 from table(2) 1025-65535 to any xmit is0
00027 0 0 nat 124 ip4 from table(3) 1025-65535 to any xmit is0
00030 0 0 nat 125 icmp from any to any recv 78.29.8.62
00031 0 0 skipto 40 icmp from any to any recv 78.29.8.62
00032 0 0 nat 125 tcp from any to me dst-port 1025-65535 recv ${IpOut2}
00033 0 0 nat 125 udp from any to me dst-port 1025-65535 recv ${IpOut2}
00034 0 0 nat 125 icmp from 192.168.0.0/23 to any xmit ${IpOut2}
00035 0 0 skipto 40 icmp from 192.168.0.0/23 to any xmit ${IpOut2}
00036 0 0 nat 125 ip4 from table(2) 1025-65535 to any xmit ${IpOut2}
00037 0 0 nat 125 ip4 from table(3) 1025-65535 to any xmit ${IpOut2}
00037 0 0 nat 125 ip4 from 192.168.100.0/24 to any xmit 78.29.8.62
00040 25 1636 nat 126 icmp from any to any recv ${IpOut}
00041 1 56 skipto 50 icmp from any to any recv ${IpOut}
00042 6445 6726004 nat 126 tcp from any to me dst-port 1025-65535 recv ${IpOut}
00043 115 10756 nat 126 udp from any to me dst-port 1025-65535 recv ${IpOut}
00044 0 0 nat 126 icmp from 192.168.0.0/23 to any xmit ${IpOut}
00045 0 0 skipto 50 icmp from 192.168.0.0/23 to any xmit ${IpOut}
00046 485 69142 nat 126 ip4 from table(2) 1025-65535 to any xmit ${IpOut}
00047 0 0 nat 126 ip4 from 192.168.100.0/24 to any xmit ${IpOut}
00100 8344 1501346 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
01100 511 71101 allow ip4 from table(2) to not me
01200 0 0 allow ip4 from table(3) to not me
01300 1054 310322 allow ip4 from not me to table(2)
01400 0 0 allow ip4 from not me to table(3)
01500 474 91165 allow tcp from 192.168.0.101 3389 to any
01600 452 77843 allow tcp from any to 192.168.0.101 dst-port 3389
02100 6139 6550284 allow ip4 from me to 192.168.0.0/23 xmit lan0
02200 3992 317816 allow ip4 from 192.168.0.0/23 to me recv lan0
03100 0 0 allow ip4 from 192.168.0.0/23 to table(6) dst-port 53
03100 0 0 allow ip4 from table(6) 53 to 192.168.0.0/23
03200 523 47071 allow ip4 from 192.168.0.0/23 to 192.168.0.0/23 via lan0
03300 1080 78863 deny ip4 from 192.168.0.0/23 to not me
03400 0 0 deny ip4 from not me to 192.168.0.0/23
65000 11550 7082891 allow ip4 from any to any
65533 0 0 deny log ip4 from any to any
65534 11 792 deny log ip from any to any
65535 8 482 deny ip from any to any
-
- ефрейтор
- Сообщения: 61
- Зарегистрирован: 2009-09-17 11:07:45
Re: IPFW
Здравствуйте.
Ест проблема не работает ядерный нат во FreeBSD 8.1 со следующими правилами:
при этом нат работал в 8.0
Ест проблема не работает ядерный нат во FreeBSD 8.1 со следующими правилами:
Код: Выделить всё
9:38 [stat]#cat /etc/ipfw.rules
###################### start ipfw rules script ######################
# Delete all rules
#####################################################################
/sbin/ipfw -q -f flush
#Set default
cmd="/sbin/ipfw -q "
ks="keep-state"
pppOut="tun0"
LanIn="vr1"
####################################################################
# restriction allow all
####################################################################
#$cmd add 00005 allow all from any to any
####################################################################
# restriction on Loopback Interface
####################################################################
$cmd add 00010 allow all from any to any via lo0
####################################################################
#Allow the packet through if it has previous been added to the
#the "dynamic" rules table by allow keep-state statement.
####################################################################
$cmd add 00025 check-state
####################################################################
# Deny 127.0.0.0/8 to any and deny to 127.0.0.0/8
####################################################################
$cmd add 00020 deny all from any to 127.0.0.0/8
$cmd add 00021 deny all from 127.0.0.0/8 to any
####################################################################
#Deny all inbound traffic from non-routable reserved address space
####################################################################
#$cmd add 00030 deny all from any to 10.0.0.0/8 in via ${pppOut}
$cmd add 00031 deny all from any to 172.16.0.0/12 in via ${pppOut}
#$cmd add 00032 deny all from any to 192.168.0.0/16 in via ${pppOut}
$cmd add 00033 deny all from any to 0.0.0.0/8 in via ${pppOut}
$cmd add 00034 deny all from any to 169.254.0.0/16 in via ${pppOut}
$cmd add 00035 deny all from any to 240.0.0.0/4 in via ${pppOut}
$cmd add 00036 deny icmp from any to any frag
$cmd add 00037 deny log icmp from any to 255.255.255.255 in via ${pppOut}
$cmd add 00038 deny log icmp from any to 255.255.255.255 out via ${pppOut}
####################################################################
# Deny all inound traffic
####################################################################
#$cmd add 00040 deny all from 10.0.0.0/8 to any out via ${pppOut}
$cmd add 00041 deny all from 172.16.0.0/12 to any out via ${pppOut}
#$cmd add 00042 deny all from 192.168.0.0/16 to any out via ${pppOut}
$cmd add 00043 deny all from 0.0.0.0/8 to any out via ${pppOut}
$cmd add 00044 deny all from 169.254.0.0/16 to any out via ${pppOut}
$cmd add 00045 deny all from 240.0.0.0/4i to any out via ${pppOut}
####################################################################
#Allow Established connect
####################################################################
#$cmd add 00050 allow tcp from any to any established
###################################################################
#Allow Server Internet
###################################################################
#$cmd add 00060 allow all from me to any out xmit ${pppOut}
$cmd add 00060 allow all from me to any out via ${pppOut} setup ${ks}
####################################################################
#Allow DNS Server
####################################################################
$cmd add 00050 allow udp from any 53 to any via ${pppOut}
$cmd add 00051 allow udp from any to any 53 via ${pppOut}
####################################################################
#Allow NTP Server
####################################################################
$cmd add 00060 allow udp from any to any 123 via ${pppOut}
$cmd add 00061 allow udp from any 123 to any via ${pppOut}
####################################################################
#Allow SSH Server
####################################################################
$cmd add 00070 allow tcp from any to me 22 in via ${pppOut} setup limit src-addr 2
####################################################################
# Allow ICMP traffic
####################################################################
$cmd add 00080 allow icmp from any to any icmptypes 0,8,11
####################################################################
# Allow traffic LAN
####################################################################
$cmd add 00100 allow tcp from any to any via ${LanIn}
$cmd add 00101 allow udp from any to any via ${LanIn}
$cmd add 00102 allow icmp from any to any via ${LanIn}
####################################################################
# NAT Kernel
####################################################################
$cmd nat 1 config log if ${pppOut} reset
#$cmd nat 1 config log if ${pppOut} reset same_ports deny_in
$cmd add 00110 nat 1 ip from any to any via ${pppOut}
#$cmd add 00110 nat 1 ip from any 25,110,5190 to any via ${pppOut}
#$cmd add 00111 nat 1 ip from any to any 110,25,5190 via ${pppOut}
Код: Выделить всё
9:37 [stat]#ipfw show
00010 230 29972 allow ip from any to any via lo0
00020 0 0 deny ip from any to 127.0.0.0/8
00021 0 0 deny ip from 127.0.0.0/8 to any
00025 0 0 check-state
00031 0 0 deny ip from any to 172.16.0.0/12 in via tun0
00033 0 0 deny ip from any to 0.0.0.0/8 in via tun0
00034 0 0 deny ip from any to 169.254.0.0/16 in via tun0
00035 0 0 deny ip from any to 240.0.0.0/4 in via tun0
00036 0 0 deny icmp from any to any frag
00037 0 0 deny log logamount 5 icmp from any to 255.255.255.255 in via tun0
00038 0 0 deny log logamount 5 icmp from any to 255.255.255.255 out via tun0
00041 0 0 deny ip from 172.16.0.0/12 to any out via tun0
00043 0 0 deny ip from 0.0.0.0/8 to any out via tun0
00044 0 0 deny ip from 169.254.0.0/16 to any out via tun0
00045 0 0 deny ip from 240.0.0.0/4 to any out via tun0
00050 129 27348 allow udp from any 53 to any via tun0
00051 135 9816 allow udp from any to any dst-port 53 via tun0
00060 2070 920422 allow ip from me to any out via tun0 setup keep-state
00060 0 0 allow udp from any to any dst-port 123 via tun0
00061 0 0 allow udp from any 123 to any via tun0
00070 0 0 allow tcp from any to me dst-port 22 in via tun0 setup limit src-addr 2
00080 4 132 allow icmp from any to any icmptypes 0,8,11
00100 2314 925004 allow tcp from any to any via vr1
00101 62 6873 allow udp from any to any via vr1
00102 0 0 allow icmp from any to any via vr1
00110 326 16496 nat 1 ip from any to any via tun0
65535 278 13816 deny ip from any to any
-
- ефрейтор
- Сообщения: 61
- Зарегистрирован: 2009-09-17 11:07:45
Re: IPFW
one_pas ставил 1 и 0 не помогает. Вот еще это все работает через PPP поддержку NAT включил
ppp.conf
rc.conf
вообщем не работает не знаю чего и делать
ppp.conf
Код: Выделить всё
u3g:
nat enable yes
set device /dev/cuaU0.0
set speed 460800
set timeout 0
set phone "*99***1#"
set authname
set authkey
set dial "ABORT BUSY TIMEOUT 2 \
\"\" \
AT OK-AT-OK \
AT+CFUN=1 OK-AT-OK \
AT+CMEE=2 OK-AT-OK \
AT+CSQ OK \
AT+CGDCONT=1,\\\"IP\\\",\\\"internet\\\" OK \
AT+CGACT? OK-AT-OK \
AT+CGATT? OK \
AT+CGCLASS? OK \
AT+COPS? OK \
ATD*99***1# CONNECT"
# set login
set vj slotcomp off
set crtscts on
# enable dns
# resolv rewrite
set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR
Код: Выделить всё
hostname="*******"
ifconfig_vr1="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES"
ppp_profile="u3g"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
named_enable="YES"
named_program="/usr/sbin/named"
named_flags=" -4 -u bind -c /etc/namedb/named.conf"
........