ipfw не пускает vpn клиентов в локалку

[myakuhin]

помогите разобраться с ipfw, настроил mpd на freebsd 5.2.1 по http://www.lissyara.su/?id=1258 подключение к серверу происходит нормально но дальше (в локалку) доступа нет, вернее если первым правилом в ipfw ставлю всем туда сюда allow то всё работает, но...
вот правила ipfw(который настраивал тоже по http://www.lissyara.su/?id=1127) только добавил туда:

${ipfw} add 150 allow tcp from any to any 1723
${ipfw} add 160 allow gre from any to any
${ipfw} add 170 allow tcp from any 1723 to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

хорошо бы полный текущий листинг фаера в тегах [code][/code]

[myakuhin]

Код: Выделить всё

LanOut="xl0"
LanIn="xl1"
IpOut="80.80.80.21"
IpIn="10.195.218.8"
NetMask="24"
NetIn1="10.195.218.0"
NetIn2="10.195.219.0"
dns1="80.80.80.20"
dns1="80.80.81.20"

${ipfw} -f flush
${ipfw} add 100 check-state
${ipfw} add 110 allow ip from any to any via lo0
${ipfw} add 120 deny ip from any to 127.0.0.0/8
${ipfw} add 125 deny ip from 127.0.0.0/8 to any
${ipfw} add 140 allow tcp from any to any 1723
${ipfw} add 150 allow tcp from any 1723 to any
${ipfw} add 160 allow gre from any to any
${ipfw} add 200 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${ipfw} add 210 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${ipfw} add 220 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${ipfw} add 230 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${ipfw} add 240 deny ip from any to 169.254.0.0/16 in via ${LanOut}
${ipfw} add 250 deny ip from any to 240.0.0.0/4 in via ${LanOut}
${ipfw} add 260 deny icmp from any to any frag
${ipfw} add 270 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${ipfw} add 280 deny log icmp from any to 255.255.255.255 out via ${LanOut}
${ipfw} add 290 fwd ${IpIn},2121 tcp from 10.195.218.0/24 to any 21
${ipfw} add 300 fwd ${IpIn},2121 tcp from 10.195.219.0/24 to any 21
${ipfw} add 320 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${ipfw} add 330 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${ipfw} add 340 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${ipfw} add 350 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${ipfw} add 360 deny ip from 169.254.0.0/16 to any out via ${LanOut}
${ipfw} add 370 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${ipfw} add 400 allow tcp from any to any established
${ipfw} add 410 allow ip from ${IpOut} to any out xmit ${LanOut}
${ipfw} add 500 allow udp from any 53 to any via ${LanOut}
${ipfw} add 600 allow udp from any to any 123 via ${LanOut}
${ipfw} add 800 allow tcp from any to ${IpOut} 22 via ${LanOut}
${ipfw} add 810 allow tcp from any to ${IpIn} 22 via ${LanIn}
${ipfw} add 820 allow tcp from any to ${IpOut} 21 via ${LanOut}
${ipfw} add 830 allow tcp from any to ${IpIn} 21 via ${LanIn}
${ipfw} add 900 allow tcp from any to any via ${LanIn}
${ipfw} add 910 allow udp from any to any via ${LanIn}
${ipfw} add 10000 deny log all from any to any

[Alex Keda]

1. зачем ты ставишь номера правил? они сами прекрасно нумеруются.
2.

Код: Выделить всё

ipfw list 

в студию.
чё там у тя в конфиге - никого не интересует. интересует что в реале

[myakuhin]

Код: Выделить всё

mup-gw# ipfw list
00100 check-state
00110 allow ip from any to any via lo0
00120 deny ip from any to 127.0.0.0/8
00125 deny ip from 127.0.0.0/8 to any
00140 allow tcp from any to any dst-port 1723
00150 allow tcp from any 1723 to any
00160 allow gre from any to any
00200 deny ip from any to 10.0.0.0/8 in via xl0
00210 deny ip from any to 172.16.0.0/12 in via xl0
00220 deny ip from any to 192.168.0.0/16 in via xl0
00230 deny ip from any to 0.0.0.0/8 in via xl0
00240 deny ip from any to 169.254.0.0/16 in via xl0
00250 deny ip from any to 240.0.0.0/4 in via xl0
00260 deny icmp from any to any frag
00270 deny log icmp from any to 255.255.255.255 in via xl0
00280 deny log icmp from any to 255.255.255.255 out via xl0
00290 fwd 10.195.218.8,2121 tcp from 10.195.218.0/24 to any dst-port 21
00300 fwd 10.195.218.8,2121 tcp from 10.195.219.0/24 to any dst-port 21
00320 deny ip from 10.0.0.0/8 to any out via xl0
00330 deny ip from 172.16.0.0/12 to any out via xl0
00340 deny ip from 192.168.0.0/16 to any out via xl0
00350 deny ip from 0.0.0.0/8 to any out via xl0
00360 deny ip from 169.254.0.0/16 to any out via xl0
00370 deny ip from 224.0.0.0/4 to any out via xl0
00400 allow tcp from any to any established
00410 allow ip from 80.80.80.21 to any out xmit xl0
00500 allow udp from any 53 to any via xl0
00600 allow udp from any to any dst-port 123 via xl0
00800 allow tcp from any to 80.80.80.21 dst-port 22 via xl0
00810 allow tcp from any to 10.195.218.8 dst-port 22 via xl1
00820 allow tcp from any to 80.80.80.21 dst-port 21 via xl0
00830 allow tcp from any to 10.195.218.8 dst-port 21 via xl1
00900 allow tcp from any to any via xl1
00910 allow udp from any to any via xl1
10000 deny log ip from any to any
65535 allow ip from any to any
mup-gw#

[hizel]

mpd создает интерфесый типа ng0 ng1 и т.д.
где правила которые пропускают трафик через эти тырфейсы?

и традиционный вопрос зачем?

00100 check-state

это правило?

[myakuhin]

да mpd создает ng0, а вот правила... что то я не нашел какие нужны для этого

[hizel]

ок
xl0 у тя смотрит в аплинк
xl1 у тя смотрит в локалку
vpn соединение с какого интерфеса
с аплинка?
подключается какойто удаленный клиент который должен шарится по лакалке, я правильно курю?

[Гость]

ок
xl0 у тя смотрит в аплинк
xl1 у тя смотрит в локалку
vpn соединение с какого интерфеса
с аплинка?
подключается какойто удаленный клиент который должен шарится по лакалке, я правильно курю?

да, xl0 интернет, xl1 вовнутрь,
да, нужно удаленному клиенту шариться по локалке... и всё

[hizel]

значецо до деная намберы выставте по вкусу

Код: Выделить всё

из vpn в локалку
ipfw add allow ip from <ip> to <net/mask> in ng0
ipfw add allow ip from <ip> to <net/mask> out xl1
из локалки в vpn
ipfw add allow ip from <net/mask> to <ip> out ng0
ipfw add allow ip from <net/mask> to <ip> in xl1

или с stateful если обращения только со стороны vpn клиента

Код: Выделить всё

из vpn в локалку
ipfw add allow tcp from <ip> to <net/mask> in ng0 setup keep-state 
ipfw add allow ip from <ip> to <net/mask> in ng0 keep-state 

туда сюда обратно

а фаер ужос, но это нормально
все фаеры не написанные мной миня ужосают, сублимация знаетели

[myakuhin]

а фаер ужос, но это нормально
все фаеры не написанные мной миня ужосают, сублимация знаетели

а что ужасного? он дырявый? подскажите что подправить (если это возможно, конечно, в 2-х словах)

P.S. а вообще спасибо - заработало у меня тут всё... медлено правда (это наверное из шифрования)

[hizel]

ну скорее вопрос эстетики
тут почти как в программировании
не всякий программист может прочитать код программиста
первая мысль переписать все нафих
но мудрые программисты сразу пресекают енто дело и начинают думать а как енто допилить до нужного
ну а молодые да зеленые встают на эти грабли постоянно

Пы.Сы. Интересно набор правил если его воспринимать как язык является ли полным по Тьюрингу