Dummynet и freebsd 7.1

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-24 16:16:46

С момента освоения фряхи сидел на версии 7,0...там резал скорость некоторым айпишникам - фаервол был по дефолту раразрешающим...теперь перешел на 7,1 и dummynet не работает по тем правилам, по которым работал на фре 7,0.

ядро на 7,1 собирал с такими опциями

Код: Выделить всё

options		IPFIREWALL
options		IPFIREWALL_VERBOSE
options		IPFIREWALL_VERBOSE_LIMIT=100
options		IPFIREWALL_FORWARD
options		IPDIVERT
options		DUMMYNET
options		HZ=1000
правила пайпов использую такие

Код: Выделить всё

${fwcmd} add 1 pipe 1 ip from not ${intnet} to 192.168.0.60 via ${intif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
Повторюсь что на фре 7,0 работало...но там я юзал разрешающий фаер....теперь же на фре 7,1 юзаю запрещающий. В нете наткнулся на то что вроде бы думинет немного изменен во фре 7,1....люди добрые помогите))))

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

harmless
лейтенант
Сообщения: 719
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение harmless » 2009-09-24 16:46:37

Аналогично на 7.2

Код: Выделить всё

ipfw add pipe 1 ip from 10.0.0.0/24 to not me,220.0.0.0/24 out
не пашет даная конструкция

Код: Выделить всё

unknown host me

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-24 19:39:16

я смотрю чо не только у меня данная проблема...уважаемые гуру подскажите правельный синтаксис написания )))

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 20:02:28

harmless писал(а):Аналогично на 7.2

Код: Выделить всё

ipfw add pipe 1 ip from 10.0.0.0/24 to not me,220.0.0.0/24 out
не пашет даная конструкция

Код: Выделить всё

unknown host me
помидитируйте над этой строчкой из man ipfw

Код: Выделить всё

addr: [not] {any | me | me6 | table(number[,value]) | addr-list | addr-set}
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 20:03:00

mediamag писал(а):С момента освоения фряхи сидел на версии 7,0...там резал скорость некоторым айпишникам - фаервол был по дефолту раразрешающим...теперь перешел на 7,1 и dummynet не работает по тем правилам, по которым работал на фре 7,0.

ядро на 7,1 собирал с такими опциями

Код: Выделить всё

options		IPFIREWALL
options		IPFIREWALL_VERBOSE
options		IPFIREWALL_VERBOSE_LIMIT=100
options		IPFIREWALL_FORWARD
options		IPDIVERT
options		DUMMYNET
options		HZ=1000
правила пайпов использую такие

Код: Выделить всё

${fwcmd} add 1 pipe 1 ip from not ${intnet} to 192.168.0.60 via ${intif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
Повторюсь что на фре 7,0 работало...но там я юзал разрешающий фаер....теперь же на фре 7,1 юзаю запрещающий. В нете наткнулся на то что вроде бы думинет немного изменен во фре 7,1....люди добрые помогите))))

вас не понял, что значит не работает? просветите уж будьте ласковы
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-24 20:04:23

пакеты на пайп не попадают.....скорость не рубится....

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 20:07:46

лучше весь список правил предоставьте :-\
ipfw show и ipfw pipe show
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-24 20:19:02

Код: Выделить всё

#!/bin/sh


extif="xl0"
extnet="10.0.1.0/24"
extip="10.0.1.1"


intif="rl0"
intnet="10.0.0.0/24"
intip="10.0.0.221"

#----for mpd5------

vpnif1="ng0"
vpnif2="ng1"
vpnif3="ng2"


fwcmd="/sbin/ipfw  "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush

${fwcmd} -f table 1 flush

${fwcmd} -f table 2 flush

#----Table 1-------------------------

${fwcmd} table 1 add 10.0.0.11
${fwcmd} table 1 add 10.0.0.15
${fwcmd} table 1 add 10.0.0.14

#----Table 2----------------------------

${fwcmd} table 2 add 10.0.0.117
${fwcmd} table 2 add 10.0.0.109

#----DUMMYNET----------------------------------------------------------------------

${fwcmd} add 1 pipe 1 ip from not ${intnet} to 10.0.0.11 via ${intif}
${fwcmd} add 2 pipe 2 ip from 10.0.0.11 to not ${intnet} out via ${extif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff

#----dinamyc rule------------

${fwcmd} add 50 check-state

#----standart antispoofing--------------------------------

${fwcmd} add 100 deny ip from any to any not verrevpath in

#----kill fragments---------------------------

${fwcmd} add 150 deny ip from any to any frag

#----block circle  (127.0.0.1) lo0--------------

${fwcmd} add 160 deny ip from any to 127.0.0.0/8
${fwcmd} add 170 deny ip from 127.0.0.0/8 to any

#----loopback------------------------------------

${fwcmd} add 180 allow ip from any to any via lo0

#----open traffic for mpd5 through ng0,ng1 etc---------

${fwcmd} add 190 allow ip from any to any via ${vpnif1}
${fwcmd} add 200 allow ip from any to any via ${vpnif2}
${fwcmd} add 210 allow ip from any to any via ${vpnif3}

#----antispoofing---------------------------------------------

${fwcmd} add 220 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 230 deny all from ${extnet} to any in via ${intif}

#----block inside LAN which can`t be in internet-----------------

${fwcmd} add 240 deny ip from any to 192.168.0.0/24 in via ${extif}
${fwcmd} add 260 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 270 deny ip from any to 169.254.0.0/16 in via ${extif}

#----block multicast delivers-----------------------------------

${fwcmd} add 280 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 290 deny ip from any to 240.0.0.0/4 in via ${extif}

#----block frags and undesirable icmp requests---------------------------

${fwcmd} add 300 deny icmp from any to any frag
${fwcmd} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

#----antiscaner ports------------------------------------------------------------------

${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
${fwcmd} add 350 reject log ip from any to any not verrevpath in

#----block ident---------------------------------------------

${fwcmd} add 360 deny tcp from any to any 113 in via ${extif}

#----block net-bios---------------------------------------------------------

${fwcmd} add 370 deny tcp from any to any 135,136,137,138,139 in via ${extif}

#----block broadcast through icmp------------------------------------------

${fwcmd} add 380 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 390 deny log icmp from any to 255.255.255.255 out via ${extif}

#----proxy server SQUID allow------------------------------------------------

${fwcmd} add 450 fwd 127.0.0.1,3128 tcp from ${intnet} to any 80 via ${extif}

#----NAT--------------------------------------------------------------

${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}

#----block inside LAN for NAT-------------------------------------

${fwcmd} add 600 deny ip from 192.168.0.0/24 to any out via ${extif}
${fwcmd} add 610 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 620 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 630 deny ip from 169.254.0.0/16 to any out via ${extif}

#----block multicast for NAT-------------------------------------

${fwcmd} add 640 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 650 deny ip from 240.0.0.0/4 to any out via ${extif}

#----block icmp (ping, etc) on extIP-----------

#${fwcmd} add 655 deny icmp from any to ${extip}

#----allow all established tcp connections-------------

${fwcmd} add 660 allow tcp from any to any established

#----allow some icmp (ping, tracert)-----------------------

${fwcmd} add 665 allow icmp from any to any icmptype 0,8,11

#----LAN traffic-----------------------------------------------

${fwcmd} add 670 allow ip from any to ${intnet} in via ${intif}
${fwcmd} add 675 allow ip from ${intnet} to any out via ${intif}

#----allow DNS requests on standart 53 port-----------------------

${fwcmd} add 700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 710 allow udp from ${extip} 53 to any out via ${extif}
${fwcmd} add 720 allow udp from any 53 to ${extip} in via ${extif}
${fwcmd} add 730 allow udp from ${extip} to any 53 out via ${extif}

#----allow DNS requests on tcp 53 from inet to firewall (TCP DNS)--

${fwcmd} add 740 allow tcp from any to ${extip} 53 in via ${extif}

#----allow SSH-------------------------------------------------------------

${fwcmd} add 750 allow tcp from any to ${extip} 35665 in via ${extif} setup

#----mirror NOD server update----------------------------------------------------

${fwcmd} add 760 allow tcp from "table(2)" to ${extip} 5700 in via ${extif} setup

#----redirect_port for natd.conf----------------------------------------------

${fwcmd} add 800 allow tcp from any to 192.168.0.222 15655 via ${extif} setup
${fwcmd} add 810 allow tcp from any to 192.168.0.222 15655 via ${intif} setup
${fwcmd} add 820 allow tcp from any to 192.168.0.5 25017 via ${extif} setup
${fwcmd} add 830 allow tcp from any to 192.168.0.5 25017 via ${intif} setup
${fwcmd} add 840 allow tcp from any to 192.168.0.5 26095 via ${extif} setup
${fwcmd} add 850 allow tcp from any to 192.168.0.5 26095 via ${intif} setup
${fwcmd} add 860 allow tcp from any to 192.168.0.20 51413 via ${extif} setup
${fwcmd} add 870 allow tcp from any to 192.168.0.20 51413 via ${intif} setup
${fwcmd} add 880 allow tcp from any to 192.168.0.149 21 via ${extif} setup
${fwcmd} add 890 allow tcp from any to 192.168.0.149 21 via ${intif} setup
${fwcmd} add 900 allow tcp from any to 192.168.0.60 41000 via ${extif} setup
${fwcmd} add 910 allow tcp from any to 192.168.0.60 41000 via ${intif} setup
${fwcmd} add 920 allow tcp from any to 192.168.0.109 80 via ${extif} setup
${fwcmd} add 930 allow tcp from any to 192.168.0.109 80 via ${intif} setup

#----allow port 1723 (for mpd5 clients)------------------------------------

${fwcmd} add 1000 allow tcp from any to ${extip} 1723 in via ${extif} setup

#----allow GRE traffic for mpd5-------------

${fwcmd} add 1010 allow gre from any to any

#----allow some traffic OpenVPN from VPN to LAN--------------------------------

#${fwcmd} add 1100 allow tcp from ${vpnnet} to ${intnet} 445 via ${intif} setup

#----example allow udp from NET to firewall (teamspeak)--------------------

${fwcmd} add 1200 allow udp from any to ${extip} 8767,51234 in via ${extif}
${fwcmd} add 1300 allow udp from ${extip} 8767,51234 to any out via ${extif}

#----Status TeamSpeak------------------------------------------------------------

${fwcmd} add 1400 allow tcp from any to ${extip} 8767,51234 in via ${extif} setup

#----example allow udp ports in LAN (CS)--------------------------------

#${fwcmd} add 1500 allow udp from any 27010 to ${intnet} in via ${extif}
#${fwcmd} add 1600 allow udp from any 27010 to ${intnet} out via ${intif}
#${fwcmd} add 1700 allow udp from ${intnet} to any 27010 in via ${intif}
#${fwcmd} add 1800 allow udp from ${extip} to any 27010 out via ${extif}

#----block other established tcp connections-------------------------

${fwcmd} add 1900 deny tcp from any to ${extip} in via ${extif} setup

#----allow established tcp connections from ext IP to ext interface----

${fwcmd} add 2000 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2100 allow tcp from any to ${extip} in via ${intif} setup


#---------------------USER INET BEGIN--------------------------------------


#----allow some tcp connections to all LAN (icq)----------------------------

${fwcmd} add 2200 allow tcp from ${intnet} to any 5190 in via ${intif} setup

#----reserve ip-------------------------------------------------------------------

${fwcmd} add 2300 allow tcp from "table(1)" to not ${intnet} in via ${intif} setup

#----room 310---------------------------------------------------------------------

${fwcmd} add 2400 allow tcp from "table(2)" to not ${intnet} in via ${intif} setup

Enakentiy
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-09-24 9:29:35

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение Enakentiy » 2009-09-24 20:41:07

Нет ли случайно разници в порядке создания правил. То есть предположение такое: в начале должна создатся труба, а потом в нее влится трафик. У Вас наоборот.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 20:43:14

вы пайпите до НАТа :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 20:43:42

Enakentiy писал(а):Нет ли случайно разници в порядке создания правил. То есть предположение такое: в начале должна создатся труба, а потом в нее влится трафик. У Вас наоборот.
это почти не важно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-24 21:17:59

Всегда пайпил до ната....и все работало в 7,0...какие есть соображения???

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-24 21:21:23

больше соображений нет и не будет, иба такая схема не работает на любой версии FreeBSD где есть dummynet :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-25 8:47:50

Подвинул трубы ниже ната....но все равно пакеты не ходят...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-25 9:31:10

отбрасывая частности, должно быть так

Код: Выделить всё

$fadd pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
$fadd pipe 2 config bw 256Kbit/s mask src-ip 0xffffffff

$fadd 100 divert natd ip from any            to $extip         in via $extif
$fadd 200 pipe 1        ip from not $intnet to 10.0.0.11    out via $intif
$fadd 300 pipe 2        ip from 10.0.0.11   to not $intnet  in via $intif
$fadd 400 divert natd ip from $intnet       to any             out via $extif
почему вы не пользуете kernel nat?
и да прокси я не учитывал
Последний раз редактировалось hizel 2009-09-25 9:31:50, всего редактировалось 1 раз.
Причина: src-ip
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-25 11:27:10

все равно пакеты не ходят((((((

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-25 11:28:45

ну пакеты то ходить не будут в этом варианте, у вас же по дефолту все денай ^_^
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-25 11:35:53

работает резалка только если перед всеми правилами прописать

Код: Выделить всё

add 1 pipe 1 ip from any to 10.0.0.11
но это не правильно, так как даже путти лагает)))....может лучше скомпилить разрешающий фаер? и предпоследнее правило deny ip from any to any??????

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-25 12:14:03

фак!

Код: Выделить всё

intnet="10.0.0.0/24"

Код: Выделить всё

fadd 200 pipe 1        ip from not $intnet to 10.0.0.11    out via $intif
они и не сработает, ппц

лучше бы стразу ipfw show дали, сколько раз заркался :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-25 12:51:25

mediamag писал(а):

Код: Выделить всё

#!/bin/sh


extif="xl0"
extnet="10.0.1.0/24"
extip="10.0.1.1"


intif="rl0"
intnet="10.0.0.0/24"
intip="10.0.0.221"

#----for mpd5------

vpnif1="ng0"
vpnif2="ng1"
vpnif3="ng2"


fwcmd="/sbin/ipfw  "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush

${fwcmd} -f table 1 flush

${fwcmd} -f table 2 flush

#----Table 1-------------------------

${fwcmd} table 1 add 10.0.0.11
${fwcmd} table 1 add 10.0.0.15
${fwcmd} table 1 add 10.0.0.14

#----Table 2----------------------------

${fwcmd} table 2 add 10.0.0.117
${fwcmd} table 2 add 10.0.0.109

#----DUMMYNET----------------------------------------------------------------------

${fwcmd} add 1 pipe 1 ip from not ${intnet} to 10.0.0.11 via ${intif}
${fwcmd} add 2 pipe 2 ip from 10.0.0.11 to not ${intnet} out via ${extif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff

#----dinamyc rule------------

${fwcmd} add 50 check-state

#----standart antispoofing--------------------------------

${fwcmd} add 100 deny ip from any to any not verrevpath in

#----kill fragments---------------------------

${fwcmd} add 150 deny ip from any to any frag

#----block circle  (127.0.0.1) lo0--------------

${fwcmd} add 160 deny ip from any to 127.0.0.0/8
${fwcmd} add 170 deny ip from 127.0.0.0/8 to any

#----loopback------------------------------------

${fwcmd} add 180 allow ip from any to any via lo0

#----open traffic for mpd5 through ng0,ng1 etc---------

${fwcmd} add 190 allow ip from any to any via ${vpnif1}
${fwcmd} add 200 allow ip from any to any via ${vpnif2}
${fwcmd} add 210 allow ip from any to any via ${vpnif3}

#----antispoofing---------------------------------------------

${fwcmd} add 220 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 230 deny all from ${extnet} to any in via ${intif}

#----block inside LAN which can`t be in internet-----------------

${fwcmd} add 240 deny ip from any to 192.168.0.0/24 in via ${extif}
${fwcmd} add 260 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 270 deny ip from any to 169.254.0.0/16 in via ${extif}

#----block multicast delivers-----------------------------------

${fwcmd} add 280 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 290 deny ip from any to 240.0.0.0/4 in via ${extif}

#----block frags and undesirable icmp requests---------------------------

${fwcmd} add 300 deny icmp from any to any frag
${fwcmd} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

#----antiscaner ports------------------------------------------------------------------

${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
${fwcmd} add 350 reject log ip from any to any not verrevpath in

#----block ident---------------------------------------------

${fwcmd} add 360 deny tcp from any to any 113 in via ${extif}

#----block net-bios---------------------------------------------------------

${fwcmd} add 370 deny tcp from any to any 135,136,137,138,139 in via ${extif}

#----block broadcast through icmp------------------------------------------

${fwcmd} add 380 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 390 deny log icmp from any to 255.255.255.255 out via ${extif}

#----proxy server SQUID allow------------------------------------------------

${fwcmd} add 450 fwd 127.0.0.1,3128 tcp from ${intnet} to any 80 via ${extif}

#----NAT--------------------------------------------------------------

${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}

#----block inside LAN for NAT-------------------------------------

${fwcmd} add 600 deny ip from 192.168.0.0/24 to any out via ${extif}
${fwcmd} add 610 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 620 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 630 deny ip from 169.254.0.0/16 to any out via ${extif}

#----block multicast for NAT-------------------------------------

${fwcmd} add 640 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 650 deny ip from 240.0.0.0/4 to any out via ${extif}

#----block icmp (ping, etc) on extIP-----------

#${fwcmd} add 655 deny icmp from any to ${extip}

#----allow all established tcp connections-------------

${fwcmd} add 660 allow tcp from any to any established

#----allow some icmp (ping, tracert)-----------------------

${fwcmd} add 665 allow icmp from any to any icmptype 0,8,11

#----LAN traffic-----------------------------------------------

${fwcmd} add 670 allow ip from any to ${intnet} in via ${intif}
${fwcmd} add 675 allow ip from ${intnet} to any out via ${intif}

#----allow DNS requests on standart 53 port-----------------------

${fwcmd} add 700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 710 allow udp from ${extip} 53 to any out via ${extif}
${fwcmd} add 720 allow udp from any 53 to ${extip} in via ${extif}
${fwcmd} add 730 allow udp from ${extip} to any 53 out via ${extif}

#----allow DNS requests on tcp 53 from inet to firewall (TCP DNS)--

${fwcmd} add 740 allow tcp from any to ${extip} 53 in via ${extif}

#----allow SSH-------------------------------------------------------------

${fwcmd} add 750 allow tcp from any to ${extip} 35665 in via ${extif} setup

#----mirror NOD server update----------------------------------------------------

${fwcmd} add 760 allow tcp from "table(2)" to ${extip} 5700 in via ${extif} setup

#----redirect_port for natd.conf----------------------------------------------

${fwcmd} add 800 allow tcp from any to 192.168.0.222 15655 via ${extif} setup
${fwcmd} add 810 allow tcp from any to 192.168.0.222 15655 via ${intif} setup
${fwcmd} add 820 allow tcp from any to 192.168.0.5 25017 via ${extif} setup
${fwcmd} add 830 allow tcp from any to 192.168.0.5 25017 via ${intif} setup
${fwcmd} add 840 allow tcp from any to 192.168.0.5 26095 via ${extif} setup
${fwcmd} add 850 allow tcp from any to 192.168.0.5 26095 via ${intif} setup
${fwcmd} add 860 allow tcp from any to 192.168.0.20 51413 via ${extif} setup
${fwcmd} add 870 allow tcp from any to 192.168.0.20 51413 via ${intif} setup
${fwcmd} add 880 allow tcp from any to 192.168.0.149 21 via ${extif} setup
${fwcmd} add 890 allow tcp from any to 192.168.0.149 21 via ${intif} setup
${fwcmd} add 900 allow tcp from any to 192.168.0.60 41000 via ${extif} setup
${fwcmd} add 910 allow tcp from any to 192.168.0.60 41000 via ${intif} setup
${fwcmd} add 920 allow tcp from any to 192.168.0.109 80 via ${extif} setup
${fwcmd} add 930 allow tcp from any to 192.168.0.109 80 via ${intif} setup

#----allow port 1723 (for mpd5 clients)------------------------------------

${fwcmd} add 1000 allow tcp from any to ${extip} 1723 in via ${extif} setup

#----allow GRE traffic for mpd5-------------

${fwcmd} add 1010 allow gre from any to any

#----allow some traffic OpenVPN from VPN to LAN--------------------------------

#${fwcmd} add 1100 allow tcp from ${vpnnet} to ${intnet} 445 via ${intif} setup

#----example allow udp from NET to firewall (teamspeak)--------------------

${fwcmd} add 1200 allow udp from any to ${extip} 8767,51234 in via ${extif}
${fwcmd} add 1300 allow udp from ${extip} 8767,51234 to any out via ${extif}

#----Status TeamSpeak------------------------------------------------------------

${fwcmd} add 1400 allow tcp from any to ${extip} 8767,51234 in via ${extif} setup

#----example allow udp ports in LAN (CS)--------------------------------

#${fwcmd} add 1500 allow udp from any 27010 to ${intnet} in via ${extif}
#${fwcmd} add 1600 allow udp from any 27010 to ${intnet} out via ${intif}
#${fwcmd} add 1700 allow udp from ${intnet} to any 27010 in via ${intif}
#${fwcmd} add 1800 allow udp from ${extip} to any 27010 out via ${extif}

#----block other established tcp connections-------------------------

${fwcmd} add 1900 deny tcp from any to ${extip} in via ${extif} setup

#----allow established tcp connections from ext IP to ext interface----

${fwcmd} add 2000 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2100 allow tcp from any to ${extip} in via ${intif} setup


#---------------------USER INET BEGIN--------------------------------------


#----allow some tcp connections to all LAN (icq)----------------------------

${fwcmd} add 2200 allow tcp from ${intnet} to any 5190 in via ${intif} setup

#----reserve ip-------------------------------------------------------------------

${fwcmd} add 2300 allow tcp from "table(1)" to not ${intnet} in via ${intif} setup

#----room 310---------------------------------------------------------------------

${fwcmd} add 2400 allow tcp from "table(2)" to not ${intnet} in via ${intif} setup


вот же я давал выше

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение hizel » 2009-09-25 12:55:11

это не выхлоп ipfw show очевидно :no:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Gamerman
капитан
Сообщения: 1720
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение Gamerman » 2009-09-25 13:57:27

Думаю, что топикстартер не верно понимает термин ipfw show.

Нужно показать вывод даной команды, а не файл, где сидят настройки фаервола.
Глюк глюком вышибают!

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-27 1:05:44

ipfw show

Код: Выделить всё

00050   0     0 check-state
00150   0     0 deny ip from any to any frag
00160   0     0 deny ip from any to 127.0.0.0/8
00170   0     0 deny ip from 127.0.0.0/8 to any
00180   0     0 allow ip from any to any via lo0
00190   0     0 allow ip from any to any via ng0
00200   0     0 allow ip from any to any via ng1
00210   0     0 allow ip from any to any via ng2
00220   0     0 deny ip from 10.0.0.0/24 to any in via xl0
00230   0     0 deny ip from 10.0.1.0/24 to any in via rl0
00240   0     0 deny ip from any to 192.168.0.0/16 in via xl0
00250   0     0 deny ip from any to 172.16.0.0/12 in via xl0
00260   0     0 deny ip from any to 0.0.0.0/8 in via xl0
00270   0     0 deny ip from any to 169.254.0.0/16 in via xl0
00280   0     0 deny ip from any to 224.0.0.0/4 in via xl0
00290   0     0 deny ip from any to 240.0.0.0/4 in via xl0
00300   0     0 deny icmp from any to any frag
00310   0     0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00320   0     0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00330   0     0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00340   0     0 reject tcp from any to any not established tcpflags fin
00350   0     0 reject log logamount 100 ip from any to any not verrevpath in
00360   0     0 deny tcp from any to any dst-port 113 in via xl0
00370   0     0 deny tcp from any to any dst-port 135,136,137,138,139 in via xl0
00380   0     0 deny log logamount 100 icmp from any to 255.255.255.255 in via xl0
00390   0     0 deny log logamount 100 icmp from any to 255.255.255.255 out via xl0
00450   0     0 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
00500   3   144 divert 8668 ip from 10.0.0.0/24 to any out via xl0
00510  38  2040 divert 8668 ip from any to 10.0.1.2 in via xl0
00600   0     0 deny ip from 192.168.0.0/16 to any out via xl0
00610   0     0 deny ip from 172.16.0.0/12 to any out via xl0
00620   0     0 deny ip from 0.0.0.0/8 to any out via xl0
00630   0     0 deny ip from 169.254.0.0/16 to any out via xl0
00640   0     0 deny ip from 224.0.0.0/4 to any out via xl0
00650   0     0 deny ip from 240.0.0.0/4 to any out via xl0
00660  87 16424 allow tcp from any to any established
00665   0     0 allow icmp from any to any icmptypes 0,8,11
00670  10   690 allow ip from any to 10.0.0.0/24 in via rl0
00675   0     0 allow ip from 10.0.0.0/24 to any out via rl0
00700   0     0 allow udp from any to 10.0.1.2 dst-port 53 in via xl0
00710   0     0 allow udp from 10.0.1.2 53 to any out via xl0
00720   0     0 allow udp from any 53 to 10.0.1.2 in via xl0
00730   0     0 allow udp from 10.0.1.2 to any dst-port 53 out via xl0
00740   0     0 allow tcp from any to 10.0.1.2 dst-port 53 in via xl0
00750   0     0 allow tcp from any to 10.0.1.2 dst-port 35665 in via xl0 setup
00800   0     0 allow tcp from any to 10.0.0.226 dst-port 25 via xl0 setup
00810   0     0 allow tcp from any to 10.0.0.226 dst-port 25 via rl0 setup
00820   0     0 allow tcp from any to 10.0.0.226 dst-port 110 via xl0 setup
00830   0     0 allow tcp from any to 10.0.0.226 dst-port 110 via rl0 setup
00840   0     0 allow tcp from any to 10.0.0.226 dst-port 143 via xl0 setup
00850   0     0 allow tcp from any to 10.0.0.226 dst-port 143 via rl0 setup
00860   0     0 allow tcp from any to 10.0.0.226 dst-port 587 via xl0 setup
00870   0     0 allow tcp from any to 10.0.0.226 dst-port 587 via rl0 setup
00880   0     0 allow tcp from any to 10.0.0.226 dst-port 366 via xl0 setup
00890   0     0 allow tcp from any to 10.0.0.226 dst-port 366 via rl0 setup
01000   0     0 allow tcp from any to 10.0.1.2 dst-port 1723 in via xl0 setup
01010   0     0 allow gre from any to any
01500   0     0 allow udp from any 53 to 10.0.0.0/24 in via xl0
01600   0     0 allow udp from any 53 to 10.0.0.0/24 out via rl0
01700   0     0 allow udp from 10.0.0.0/24 to any dst-port 53 in via rl0
01900   0     0 deny tcp from any to 10.0.1.2 in via xl0 setup
02000   0     0 allow tcp from 10.0.1.2 to any out via xl0 setup
02100   0     0 allow tcp from any to 10.0.1.2 in via rl0 setup
02300   0     0 allow tcp from table(1) to not 10.0.0.0/24 in via rl0 setup
02400   0     0 allow tcp from table(2) to not 10.0.0.0/24 in via rl0 setup
02410   0     0 allow tcp from table(3) to not 10.0.0.0/24 dst-port 5432 in via rl0 setup
65535 213 14375 deny ip from any to any
пайпы пока закоментил

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение mediamag » 2009-09-28 10:12:45

что скажите уважаемые гуру? как все таки на фре 7,1 заставить работать пайпы?

Аватара пользователя
Gamerman
капитан
Сообщения: 1720
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Dummynet и freebsd 7.1

Непрочитанное сообщение Gamerman » 2009-09-28 11:15:46

Что то я в выхлопе ни одного пайпа не вижу.
Глюк глюком вышибают!