Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-24 16:16:46
С момента освоения фряхи сидел на версии 7,0...там резал скорость некоторым айпишникам - фаервол был по дефолту раразрешающим...теперь перешел на 7,1 и dummynet не работает по тем правилам, по которым работал на фре 7,0.
ядро на 7,1 собирал с такими опциями
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options HZ=1000
правила пайпов использую такие
Код: Выделить всё
${fwcmd} add 1 pipe 1 ip from not ${intnet} to 192.168.0.60 via ${intif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
Повторюсь что на фре 7,0 работало...но там я юзал разрешающий фаер....теперь же на фре 7,1 юзаю запрещающий. В нете наткнулся на то что вроде бы думинет немного изменен во фре 7,1....люди добрые помогите))))
mediamag
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
harmless
- лейтенант
- Сообщения: 719
- Зарегистрирован: 2007-08-23 10:56:51
- Откуда: Украина, г. Киев, г. Белая Церковь
-
Контактная информация:
Непрочитанное сообщение
harmless » 2009-09-24 16:46:37
Аналогично на 7.2
Код: Выделить всё
ipfw add pipe 1 ip from 10.0.0.0/24 to not me,220.0.0.0/24 out
не пашет даная конструкция
harmless
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-24 19:39:16
я смотрю чо не только у меня данная проблема...уважаемые гуру подскажите правельный синтаксис написания )))
mediamag
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 20:02:28
harmless писал(а):Аналогично на 7.2
Код: Выделить всё
ipfw add pipe 1 ip from 10.0.0.0/24 to not me,220.0.0.0/24 out
не пашет даная конструкция
помидитируйте над этой строчкой из man ipfw
Код: Выделить всё
addr: [not] {any | me | me6 | table(number[,value]) | addr-list | addr-set}
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 20:03:00
mediamag писал(а):С момента освоения фряхи сидел на версии 7,0...там резал скорость некоторым айпишникам - фаервол был по дефолту раразрешающим...теперь перешел на 7,1 и dummynet не работает по тем правилам, по которым работал на фре 7,0.
ядро на 7,1 собирал с такими опциями
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options HZ=1000
правила пайпов использую такие
Код: Выделить всё
${fwcmd} add 1 pipe 1 ip from not ${intnet} to 192.168.0.60 via ${intif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
Повторюсь что на фре 7,0 работало...но там я юзал разрешающий фаер....теперь же на фре 7,1 юзаю запрещающий. В нете наткнулся на то что вроде бы думинет немного изменен во фре 7,1....люди добрые помогите))))
вас не понял, что значит не работает? просветите уж будьте ласковы
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 20:07:46
лучше весь список правил предоставьте :-\
ipfw show и ipfw pipe show
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-24 20:19:02
Код: Выделить всё
#!/bin/sh
extif="xl0"
extnet="10.0.1.0/24"
extip="10.0.1.1"
intif="rl0"
intnet="10.0.0.0/24"
intip="10.0.0.221"
#----for mpd5------
vpnif1="ng0"
vpnif2="ng1"
vpnif3="ng2"
fwcmd="/sbin/ipfw "
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
${fwcmd} -f table 1 flush
${fwcmd} -f table 2 flush
#----Table 1-------------------------
${fwcmd} table 1 add 10.0.0.11
${fwcmd} table 1 add 10.0.0.15
${fwcmd} table 1 add 10.0.0.14
#----Table 2----------------------------
${fwcmd} table 2 add 10.0.0.117
${fwcmd} table 2 add 10.0.0.109
#----DUMMYNET----------------------------------------------------------------------
${fwcmd} add 1 pipe 1 ip from not ${intnet} to 10.0.0.11 via ${intif}
${fwcmd} add 2 pipe 2 ip from 10.0.0.11 to not ${intnet} out via ${extif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff
#----dinamyc rule------------
${fwcmd} add 50 check-state
#----standart antispoofing--------------------------------
${fwcmd} add 100 deny ip from any to any not verrevpath in
#----kill fragments---------------------------
${fwcmd} add 150 deny ip from any to any frag
#----block circle (127.0.0.1) lo0--------------
${fwcmd} add 160 deny ip from any to 127.0.0.0/8
${fwcmd} add 170 deny ip from 127.0.0.0/8 to any
#----loopback------------------------------------
${fwcmd} add 180 allow ip from any to any via lo0
#----open traffic for mpd5 through ng0,ng1 etc---------
${fwcmd} add 190 allow ip from any to any via ${vpnif1}
${fwcmd} add 200 allow ip from any to any via ${vpnif2}
${fwcmd} add 210 allow ip from any to any via ${vpnif3}
#----antispoofing---------------------------------------------
${fwcmd} add 220 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 230 deny all from ${extnet} to any in via ${intif}
#----block inside LAN which can`t be in internet-----------------
${fwcmd} add 240 deny ip from any to 192.168.0.0/24 in via ${extif}
${fwcmd} add 260 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 270 deny ip from any to 169.254.0.0/16 in via ${extif}
#----block multicast delivers-----------------------------------
${fwcmd} add 280 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 290 deny ip from any to 240.0.0.0/4 in via ${extif}
#----block frags and undesirable icmp requests---------------------------
${fwcmd} add 300 deny icmp from any to any frag
${fwcmd} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#----antiscaner ports------------------------------------------------------------------
${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
${fwcmd} add 350 reject log ip from any to any not verrevpath in
#----block ident---------------------------------------------
${fwcmd} add 360 deny tcp from any to any 113 in via ${extif}
#----block net-bios---------------------------------------------------------
${fwcmd} add 370 deny tcp from any to any 135,136,137,138,139 in via ${extif}
#----block broadcast through icmp------------------------------------------
${fwcmd} add 380 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 390 deny log icmp from any to 255.255.255.255 out via ${extif}
#----proxy server SQUID allow------------------------------------------------
${fwcmd} add 450 fwd 127.0.0.1,3128 tcp from ${intnet} to any 80 via ${extif}
#----NAT--------------------------------------------------------------
${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}
#----block inside LAN for NAT-------------------------------------
${fwcmd} add 600 deny ip from 192.168.0.0/24 to any out via ${extif}
${fwcmd} add 610 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 620 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 630 deny ip from 169.254.0.0/16 to any out via ${extif}
#----block multicast for NAT-------------------------------------
${fwcmd} add 640 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 650 deny ip from 240.0.0.0/4 to any out via ${extif}
#----block icmp (ping, etc) on extIP-----------
#${fwcmd} add 655 deny icmp from any to ${extip}
#----allow all established tcp connections-------------
${fwcmd} add 660 allow tcp from any to any established
#----allow some icmp (ping, tracert)-----------------------
${fwcmd} add 665 allow icmp from any to any icmptype 0,8,11
#----LAN traffic-----------------------------------------------
${fwcmd} add 670 allow ip from any to ${intnet} in via ${intif}
${fwcmd} add 675 allow ip from ${intnet} to any out via ${intif}
#----allow DNS requests on standart 53 port-----------------------
${fwcmd} add 700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 710 allow udp from ${extip} 53 to any out via ${extif}
${fwcmd} add 720 allow udp from any 53 to ${extip} in via ${extif}
${fwcmd} add 730 allow udp from ${extip} to any 53 out via ${extif}
#----allow DNS requests on tcp 53 from inet to firewall (TCP DNS)--
${fwcmd} add 740 allow tcp from any to ${extip} 53 in via ${extif}
#----allow SSH-------------------------------------------------------------
${fwcmd} add 750 allow tcp from any to ${extip} 35665 in via ${extif} setup
#----mirror NOD server update----------------------------------------------------
${fwcmd} add 760 allow tcp from "table(2)" to ${extip} 5700 in via ${extif} setup
#----redirect_port for natd.conf----------------------------------------------
${fwcmd} add 800 allow tcp from any to 192.168.0.222 15655 via ${extif} setup
${fwcmd} add 810 allow tcp from any to 192.168.0.222 15655 via ${intif} setup
${fwcmd} add 820 allow tcp from any to 192.168.0.5 25017 via ${extif} setup
${fwcmd} add 830 allow tcp from any to 192.168.0.5 25017 via ${intif} setup
${fwcmd} add 840 allow tcp from any to 192.168.0.5 26095 via ${extif} setup
${fwcmd} add 850 allow tcp from any to 192.168.0.5 26095 via ${intif} setup
${fwcmd} add 860 allow tcp from any to 192.168.0.20 51413 via ${extif} setup
${fwcmd} add 870 allow tcp from any to 192.168.0.20 51413 via ${intif} setup
${fwcmd} add 880 allow tcp from any to 192.168.0.149 21 via ${extif} setup
${fwcmd} add 890 allow tcp from any to 192.168.0.149 21 via ${intif} setup
${fwcmd} add 900 allow tcp from any to 192.168.0.60 41000 via ${extif} setup
${fwcmd} add 910 allow tcp from any to 192.168.0.60 41000 via ${intif} setup
${fwcmd} add 920 allow tcp from any to 192.168.0.109 80 via ${extif} setup
${fwcmd} add 930 allow tcp from any to 192.168.0.109 80 via ${intif} setup
#----allow port 1723 (for mpd5 clients)------------------------------------
${fwcmd} add 1000 allow tcp from any to ${extip} 1723 in via ${extif} setup
#----allow GRE traffic for mpd5-------------
${fwcmd} add 1010 allow gre from any to any
#----allow some traffic OpenVPN from VPN to LAN--------------------------------
#${fwcmd} add 1100 allow tcp from ${vpnnet} to ${intnet} 445 via ${intif} setup
#----example allow udp from NET to firewall (teamspeak)--------------------
${fwcmd} add 1200 allow udp from any to ${extip} 8767,51234 in via ${extif}
${fwcmd} add 1300 allow udp from ${extip} 8767,51234 to any out via ${extif}
#----Status TeamSpeak------------------------------------------------------------
${fwcmd} add 1400 allow tcp from any to ${extip} 8767,51234 in via ${extif} setup
#----example allow udp ports in LAN (CS)--------------------------------
#${fwcmd} add 1500 allow udp from any 27010 to ${intnet} in via ${extif}
#${fwcmd} add 1600 allow udp from any 27010 to ${intnet} out via ${intif}
#${fwcmd} add 1700 allow udp from ${intnet} to any 27010 in via ${intif}
#${fwcmd} add 1800 allow udp from ${extip} to any 27010 out via ${extif}
#----block other established tcp connections-------------------------
${fwcmd} add 1900 deny tcp from any to ${extip} in via ${extif} setup
#----allow established tcp connections from ext IP to ext interface----
${fwcmd} add 2000 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2100 allow tcp from any to ${extip} in via ${intif} setup
#---------------------USER INET BEGIN--------------------------------------
#----allow some tcp connections to all LAN (icq)----------------------------
${fwcmd} add 2200 allow tcp from ${intnet} to any 5190 in via ${intif} setup
#----reserve ip-------------------------------------------------------------------
${fwcmd} add 2300 allow tcp from "table(1)" to not ${intnet} in via ${intif} setup
#----room 310---------------------------------------------------------------------
${fwcmd} add 2400 allow tcp from "table(2)" to not ${intnet} in via ${intif} setup
mediamag
-
Enakentiy
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2009-09-24 9:29:35
Непрочитанное сообщение
Enakentiy » 2009-09-24 20:41:07
Нет ли случайно разници в порядке создания правил. То есть предположение такое: в начале должна создатся труба, а потом в нее влится трафик. У Вас наоборот.
Enakentiy
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 20:43:14
вы пайпите до НАТа
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 20:43:42
Enakentiy писал(а):Нет ли случайно разници в порядке создания правил. То есть предположение такое: в начале должна создатся труба, а потом в нее влится трафик. У Вас наоборот.
это почти не важно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-24 21:17:59
Всегда пайпил до ната....и все работало в 7,0...какие есть соображения???
mediamag
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-24 21:21:23
больше соображений нет и не будет, иба такая схема не работает на любой версии FreeBSD где есть dummynet
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-25 9:31:10
отбрасывая частности, должно быть так
Код: Выделить всё
$fadd pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
$fadd pipe 2 config bw 256Kbit/s mask src-ip 0xffffffff
$fadd 100 divert natd ip from any to $extip in via $extif
$fadd 200 pipe 1 ip from not $intnet to 10.0.0.11 out via $intif
$fadd 300 pipe 2 ip from 10.0.0.11 to not $intnet in via $intif
$fadd 400 divert natd ip from $intnet to any out via $extif
почему вы не пользуете kernel nat?
и да прокси я не учитывал
Последний раз редактировалось
hizel 2009-09-25 9:31:50, всего редактировалось 1 раз.
Причина: src-ip
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-25 11:28:45
ну пакеты то ходить не будут в этом варианте, у вас же по дефолту все денай ^_^
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-25 11:35:53
работает резалка только если перед всеми правилами прописать
но это не правильно, так как даже путти лагает)))....может лучше скомпилить разрешающий фаер? и предпоследнее правило deny ip from any to any??????
mediamag
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-25 12:14:03
фак!
Код: Выделить всё
fadd 200 pipe 1 ip from not $intnet to 10.0.0.11 out via $intif
они и не сработает, ппц
лучше бы стразу ipfw show дали, сколько раз заркался
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-25 12:51:25
mediamag писал(а):Код: Выделить всё
#!/bin/sh
extif="xl0"
extnet="10.0.1.0/24"
extip="10.0.1.1"
intif="rl0"
intnet="10.0.0.0/24"
intip="10.0.0.221"
#----for mpd5------
vpnif1="ng0"
vpnif2="ng1"
vpnif3="ng2"
fwcmd="/sbin/ipfw "
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
${fwcmd} -f table 1 flush
${fwcmd} -f table 2 flush
#----Table 1-------------------------
${fwcmd} table 1 add 10.0.0.11
${fwcmd} table 1 add 10.0.0.15
${fwcmd} table 1 add 10.0.0.14
#----Table 2----------------------------
${fwcmd} table 2 add 10.0.0.117
${fwcmd} table 2 add 10.0.0.109
#----DUMMYNET----------------------------------------------------------------------
${fwcmd} add 1 pipe 1 ip from not ${intnet} to 10.0.0.11 via ${intif}
${fwcmd} add 2 pipe 2 ip from 10.0.0.11 to not ${intnet} out via ${extif}
${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff
#----dinamyc rule------------
${fwcmd} add 50 check-state
#----standart antispoofing--------------------------------
${fwcmd} add 100 deny ip from any to any not verrevpath in
#----kill fragments---------------------------
${fwcmd} add 150 deny ip from any to any frag
#----block circle (127.0.0.1) lo0--------------
${fwcmd} add 160 deny ip from any to 127.0.0.0/8
${fwcmd} add 170 deny ip from 127.0.0.0/8 to any
#----loopback------------------------------------
${fwcmd} add 180 allow ip from any to any via lo0
#----open traffic for mpd5 through ng0,ng1 etc---------
${fwcmd} add 190 allow ip from any to any via ${vpnif1}
${fwcmd} add 200 allow ip from any to any via ${vpnif2}
${fwcmd} add 210 allow ip from any to any via ${vpnif3}
#----antispoofing---------------------------------------------
${fwcmd} add 220 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 230 deny all from ${extnet} to any in via ${intif}
#----block inside LAN which can`t be in internet-----------------
${fwcmd} add 240 deny ip from any to 192.168.0.0/24 in via ${extif}
${fwcmd} add 260 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 270 deny ip from any to 169.254.0.0/16 in via ${extif}
#----block multicast delivers-----------------------------------
${fwcmd} add 280 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 290 deny ip from any to 240.0.0.0/4 in via ${extif}
#----block frags and undesirable icmp requests---------------------------
${fwcmd} add 300 deny icmp from any to any frag
${fwcmd} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#----antiscaner ports------------------------------------------------------------------
${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
${fwcmd} add 350 reject log ip from any to any not verrevpath in
#----block ident---------------------------------------------
${fwcmd} add 360 deny tcp from any to any 113 in via ${extif}
#----block net-bios---------------------------------------------------------
${fwcmd} add 370 deny tcp from any to any 135,136,137,138,139 in via ${extif}
#----block broadcast through icmp------------------------------------------
${fwcmd} add 380 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 390 deny log icmp from any to 255.255.255.255 out via ${extif}
#----proxy server SQUID allow------------------------------------------------
${fwcmd} add 450 fwd 127.0.0.1,3128 tcp from ${intnet} to any 80 via ${extif}
#----NAT--------------------------------------------------------------
${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}
#----block inside LAN for NAT-------------------------------------
${fwcmd} add 600 deny ip from 192.168.0.0/24 to any out via ${extif}
${fwcmd} add 610 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 620 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 630 deny ip from 169.254.0.0/16 to any out via ${extif}
#----block multicast for NAT-------------------------------------
${fwcmd} add 640 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 650 deny ip from 240.0.0.0/4 to any out via ${extif}
#----block icmp (ping, etc) on extIP-----------
#${fwcmd} add 655 deny icmp from any to ${extip}
#----allow all established tcp connections-------------
${fwcmd} add 660 allow tcp from any to any established
#----allow some icmp (ping, tracert)-----------------------
${fwcmd} add 665 allow icmp from any to any icmptype 0,8,11
#----LAN traffic-----------------------------------------------
${fwcmd} add 670 allow ip from any to ${intnet} in via ${intif}
${fwcmd} add 675 allow ip from ${intnet} to any out via ${intif}
#----allow DNS requests on standart 53 port-----------------------
${fwcmd} add 700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 710 allow udp from ${extip} 53 to any out via ${extif}
${fwcmd} add 720 allow udp from any 53 to ${extip} in via ${extif}
${fwcmd} add 730 allow udp from ${extip} to any 53 out via ${extif}
#----allow DNS requests on tcp 53 from inet to firewall (TCP DNS)--
${fwcmd} add 740 allow tcp from any to ${extip} 53 in via ${extif}
#----allow SSH-------------------------------------------------------------
${fwcmd} add 750 allow tcp from any to ${extip} 35665 in via ${extif} setup
#----mirror NOD server update----------------------------------------------------
${fwcmd} add 760 allow tcp from "table(2)" to ${extip} 5700 in via ${extif} setup
#----redirect_port for natd.conf----------------------------------------------
${fwcmd} add 800 allow tcp from any to 192.168.0.222 15655 via ${extif} setup
${fwcmd} add 810 allow tcp from any to 192.168.0.222 15655 via ${intif} setup
${fwcmd} add 820 allow tcp from any to 192.168.0.5 25017 via ${extif} setup
${fwcmd} add 830 allow tcp from any to 192.168.0.5 25017 via ${intif} setup
${fwcmd} add 840 allow tcp from any to 192.168.0.5 26095 via ${extif} setup
${fwcmd} add 850 allow tcp from any to 192.168.0.5 26095 via ${intif} setup
${fwcmd} add 860 allow tcp from any to 192.168.0.20 51413 via ${extif} setup
${fwcmd} add 870 allow tcp from any to 192.168.0.20 51413 via ${intif} setup
${fwcmd} add 880 allow tcp from any to 192.168.0.149 21 via ${extif} setup
${fwcmd} add 890 allow tcp from any to 192.168.0.149 21 via ${intif} setup
${fwcmd} add 900 allow tcp from any to 192.168.0.60 41000 via ${extif} setup
${fwcmd} add 910 allow tcp from any to 192.168.0.60 41000 via ${intif} setup
${fwcmd} add 920 allow tcp from any to 192.168.0.109 80 via ${extif} setup
${fwcmd} add 930 allow tcp from any to 192.168.0.109 80 via ${intif} setup
#----allow port 1723 (for mpd5 clients)------------------------------------
${fwcmd} add 1000 allow tcp from any to ${extip} 1723 in via ${extif} setup
#----allow GRE traffic for mpd5-------------
${fwcmd} add 1010 allow gre from any to any
#----allow some traffic OpenVPN from VPN to LAN--------------------------------
#${fwcmd} add 1100 allow tcp from ${vpnnet} to ${intnet} 445 via ${intif} setup
#----example allow udp from NET to firewall (teamspeak)--------------------
${fwcmd} add 1200 allow udp from any to ${extip} 8767,51234 in via ${extif}
${fwcmd} add 1300 allow udp from ${extip} 8767,51234 to any out via ${extif}
#----Status TeamSpeak------------------------------------------------------------
${fwcmd} add 1400 allow tcp from any to ${extip} 8767,51234 in via ${extif} setup
#----example allow udp ports in LAN (CS)--------------------------------
#${fwcmd} add 1500 allow udp from any 27010 to ${intnet} in via ${extif}
#${fwcmd} add 1600 allow udp from any 27010 to ${intnet} out via ${intif}
#${fwcmd} add 1700 allow udp from ${intnet} to any 27010 in via ${intif}
#${fwcmd} add 1800 allow udp from ${extip} to any 27010 out via ${extif}
#----block other established tcp connections-------------------------
${fwcmd} add 1900 deny tcp from any to ${extip} in via ${extif} setup
#----allow established tcp connections from ext IP to ext interface----
${fwcmd} add 2000 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2100 allow tcp from any to ${extip} in via ${intif} setup
#---------------------USER INET BEGIN--------------------------------------
#----allow some tcp connections to all LAN (icq)----------------------------
${fwcmd} add 2200 allow tcp from ${intnet} to any 5190 in via ${intif} setup
#----reserve ip-------------------------------------------------------------------
${fwcmd} add 2300 allow tcp from "table(1)" to not ${intnet} in via ${intif} setup
#----room 310---------------------------------------------------------------------
${fwcmd} add 2400 allow tcp from "table(2)" to not ${intnet} in via ${intif} setup
вот же я давал выше
mediamag
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2009-09-25 12:55:11
это не выхлоп ipfw show очевидно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
-
Контактная информация:
Непрочитанное сообщение
Gamerman » 2009-09-25 13:57:27
Думаю, что топикстартер не верно понимает термин ipfw show.
Нужно показать вывод даной команды, а не файл, где сидят настройки фаервола.
Глюк глюком вышибают!
Gamerman
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-27 1:05:44
ipfw show
Код: Выделить всё
00050 0 0 check-state
00150 0 0 deny ip from any to any frag
00160 0 0 deny ip from any to 127.0.0.0/8
00170 0 0 deny ip from 127.0.0.0/8 to any
00180 0 0 allow ip from any to any via lo0
00190 0 0 allow ip from any to any via ng0
00200 0 0 allow ip from any to any via ng1
00210 0 0 allow ip from any to any via ng2
00220 0 0 deny ip from 10.0.0.0/24 to any in via xl0
00230 0 0 deny ip from 10.0.1.0/24 to any in via rl0
00240 0 0 deny ip from any to 192.168.0.0/16 in via xl0
00250 0 0 deny ip from any to 172.16.0.0/12 in via xl0
00260 0 0 deny ip from any to 0.0.0.0/8 in via xl0
00270 0 0 deny ip from any to 169.254.0.0/16 in via xl0
00280 0 0 deny ip from any to 224.0.0.0/4 in via xl0
00290 0 0 deny ip from any to 240.0.0.0/4 in via xl0
00300 0 0 deny icmp from any to any frag
00310 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00320 0 0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00330 0 0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00340 0 0 reject tcp from any to any not established tcpflags fin
00350 0 0 reject log logamount 100 ip from any to any not verrevpath in
00360 0 0 deny tcp from any to any dst-port 113 in via xl0
00370 0 0 deny tcp from any to any dst-port 135,136,137,138,139 in via xl0
00380 0 0 deny log logamount 100 icmp from any to 255.255.255.255 in via xl0
00390 0 0 deny log logamount 100 icmp from any to 255.255.255.255 out via xl0
00450 0 0 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
00500 3 144 divert 8668 ip from 10.0.0.0/24 to any out via xl0
00510 38 2040 divert 8668 ip from any to 10.0.1.2 in via xl0
00600 0 0 deny ip from 192.168.0.0/16 to any out via xl0
00610 0 0 deny ip from 172.16.0.0/12 to any out via xl0
00620 0 0 deny ip from 0.0.0.0/8 to any out via xl0
00630 0 0 deny ip from 169.254.0.0/16 to any out via xl0
00640 0 0 deny ip from 224.0.0.0/4 to any out via xl0
00650 0 0 deny ip from 240.0.0.0/4 to any out via xl0
00660 87 16424 allow tcp from any to any established
00665 0 0 allow icmp from any to any icmptypes 0,8,11
00670 10 690 allow ip from any to 10.0.0.0/24 in via rl0
00675 0 0 allow ip from 10.0.0.0/24 to any out via rl0
00700 0 0 allow udp from any to 10.0.1.2 dst-port 53 in via xl0
00710 0 0 allow udp from 10.0.1.2 53 to any out via xl0
00720 0 0 allow udp from any 53 to 10.0.1.2 in via xl0
00730 0 0 allow udp from 10.0.1.2 to any dst-port 53 out via xl0
00740 0 0 allow tcp from any to 10.0.1.2 dst-port 53 in via xl0
00750 0 0 allow tcp from any to 10.0.1.2 dst-port 35665 in via xl0 setup
00800 0 0 allow tcp from any to 10.0.0.226 dst-port 25 via xl0 setup
00810 0 0 allow tcp from any to 10.0.0.226 dst-port 25 via rl0 setup
00820 0 0 allow tcp from any to 10.0.0.226 dst-port 110 via xl0 setup
00830 0 0 allow tcp from any to 10.0.0.226 dst-port 110 via rl0 setup
00840 0 0 allow tcp from any to 10.0.0.226 dst-port 143 via xl0 setup
00850 0 0 allow tcp from any to 10.0.0.226 dst-port 143 via rl0 setup
00860 0 0 allow tcp from any to 10.0.0.226 dst-port 587 via xl0 setup
00870 0 0 allow tcp from any to 10.0.0.226 dst-port 587 via rl0 setup
00880 0 0 allow tcp from any to 10.0.0.226 dst-port 366 via xl0 setup
00890 0 0 allow tcp from any to 10.0.0.226 dst-port 366 via rl0 setup
01000 0 0 allow tcp from any to 10.0.1.2 dst-port 1723 in via xl0 setup
01010 0 0 allow gre from any to any
01500 0 0 allow udp from any 53 to 10.0.0.0/24 in via xl0
01600 0 0 allow udp from any 53 to 10.0.0.0/24 out via rl0
01700 0 0 allow udp from 10.0.0.0/24 to any dst-port 53 in via rl0
01900 0 0 deny tcp from any to 10.0.1.2 in via xl0 setup
02000 0 0 allow tcp from 10.0.1.2 to any out via xl0 setup
02100 0 0 allow tcp from any to 10.0.1.2 in via rl0 setup
02300 0 0 allow tcp from table(1) to not 10.0.0.0/24 in via rl0 setup
02400 0 0 allow tcp from table(2) to not 10.0.0.0/24 in via rl0 setup
02410 0 0 allow tcp from table(3) to not 10.0.0.0/24 dst-port 5432 in via rl0 setup
65535 213 14375 deny ip from any to any
пайпы пока закоментил
mediamag
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2009-09-28 10:12:45
что скажите уважаемые гуру? как все таки на фре 7,1 заставить работать пайпы?
mediamag
-
Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
-
Контактная информация:
Непрочитанное сообщение
Gamerman » 2009-09-28 11:15:46
Что то я в выхлопе ни одного пайпа не вижу.
Глюк глюком вышибают!
Gamerman