IPFW не пускает в сеть, хелп [fixed]

[f.g.]

FreeBSD 6.4
конфиг взял из этой статьи - http://www.lissyara.su/?id=1127

в сеть не пускает.
но извне логиниться можно, и апач пускает, хотя в конфиге это закомментировано.

rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.firewall"

rc.firewall:

Код: Выделить всё

 cat /etc/rc.firewall
#!/bin/sh

fwcmd=="/sbin/ipfw -q "
LanOut="rl0"
LanIn="rl1"
IpOut="1.1.1.1"
IpIn="192.168.0.1"
NetMask="24"
NetIn="192.168.0.0"

${fwcmd} -f flush
${fwcmd} add check-state
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${fwcmd} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${fwcmd} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow ip from ${IpOut} to any out xmit ${LanOut}
${fwcmd} add allow udp from any 53 to any via ${LanOut}
${fwcmd} add allow udp from any to any 123 via ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${fwcmd} add allow icmp from any to any icmptypes 0,8,11
${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${fwcmd} add allow tcp from any to any via ${LanIn}
${fwcmd} add allow udp from any to any via ${LanIn}
${fwcmd} add allow icmp from any to any via ${LanIn}
${fwcmd} add deny ip from any to any

ядро собрано с этими опциями:

Код: Выделить всё

options         IPFIREWALL              #
options         IPFIREWALL_DEFAULT_TO_ACCEPT    #
options         IPFIREWALL_VERBOSE      #
options         IPFIREWALL_VERBOSE_LIMIT=10     #
options         IPFIREWALL_FORWARD      #
options         IPDIVERT                #
options         DUMMYNET                #

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

netstat -rn

[f.g.]

Код: Выделить всё

# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            1.1.1.1       UGS         0       69    rl0
1.1.1.1/30    link#1             UC          0        0    rl0
1.1.1.1       00:40:f4:34:b3:7c  UHLW        2        0    rl0   1152
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.0          link#2             UC          0        0    rl1
192.168.0.149      00:0e:a6:41:b8:69  UHLW        1       42    rl1   1152

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

[zingel]

ну и где хоть 1 allow для IpOut="1.1.1.1" ?

[f.g.]

ну и где хоть 1 allow для IpOut="1.1.1.1" ?

Код: Выделить всё

${fwcmd} add allow ip from ${IpOut} to any out xmit ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut}

вот оно, насколько я понимаю.

[zingel]

ну тогда разрешите исходящий 80 порт

[f.g.]

Вот эта строчка не помогает:

Код: Выделить всё

${fwcmd} add allow tcp from any to ${IpOut} 80 via ${LanOut}

Эта тоже:

Код: Выделить всё

${fwcmd} add allow tcp from any to ${IpIn} 80 via ${LanIn}

как открыть то?
в статье написано, что первая строчка открывает входящие соединения на 80 порту, а на деле и без неё всё открыто
а вот исходящих соединений не наблюдается

[paradox]

в вашем случае достаточно 4 правил в конфиге
2 форварда 1 диверт и один allow any
зачем вам такие заморочки я не понимаю


зы
такое чувство что все приходящие админы работают в спец службах
и пытаються защититься фаером от абстрактных коней в вакуме

[zingel]

это паранойа от незнания, всё старо как мир.

[f.g.]

сорри за затуп, голова сегодня туго работает

вроде разобрался.
убрал всё лишнее и фаер заработал.
всем спасибо