не могу настроть шлюз на FreeBSD 6.2

[emoxam]

вводил и то и то, с лез в радмин, ни там ни там ничего не появилось...

обратил, осталось научиться этим пользоваться

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

ой =(
/me кроснеет

Код: Выделить всё

tcpdump -i fxp0 -np port 4899 or port 1028
tcpdump -i rl0 -np port 4899 or port 1028

[emoxam]

/me пробует

Код: Выделить всё

 BSD# tcpdump -i rl0 -np port 4899 or port 1028
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
16:10:53.692677 IP 91.76.111.5.4594 > 192.168.0.4.1028: S 900519648:900519648(0) win 64512 <mss 1360,nop,nop,sackOK>
16:10:53.692747 IP 192.168.0.4.1028 > 91.76.111.5.4594: R 0:0(0) ack 900519649 win 0
16:10:54.922066 IP 91.76.111.5.4594 > 192.168.0.4.1028: S 900519648:900519648(0) win 64512 <mss 1360,nop,nop,sackOK>
16:10:54.922136 IP 192.168.0.4.1028 > 91.76.111.5.4594: R 0:0(0) ack 1 win 0
16:10:56.130122 IP 91.76.111.5.4594 > 192.168.0.4.1028: S 900519648:900519648(0) win 64512 <mss 1360,nop,nop,sackOK>
16:10:56.130158 IP 192.168.0.4.1028 > 91.76.111.5.4594: R 0:0(0) ack 1 win 0 

[hizel]

на БСД пакетики приходят
смотрим на fxp0 уходят ли там

гм, кстати пакетики ходят в обе стороны,, значит обмен какой-то идет =/

[emoxam]

согласен обмен идет.. тока у меня вопрос.. а почему исходящий порт моего рабочего компа вовсе не 1028 ?

проверять я так понимаю надо командой tcpdump -i fxp0 -np port 4899 or port 1028 ?
она молчит

вернулись к тому с чего начали, что не пашет ? фаер или НАТ ?

P.S. ещё один глупый вопрос firewall_enable имеет какое то отношение к ipfw ? ))

[hizel]

нарисуйте как у вас все устроенно, я бы вкурил полностью всю суть
желательно - картинко
это раз
и

Код: Выделить всё

ipfw show

покажте для полной уверенности

[emoxam]

BSD# ipfw list
65535 allow ip from any to any
BSD#

диверта тут нет, но в конф. файле фаера он есть...


вот так как ?

[hizel]

лапками

Код: Выделить всё

ipfw add divert natd ip from any to any via rl0

и смотрим

что то у вас конфиг не применяется :/
firewall_enable имеет отношение к ipfw

вы хотите доступ из инета к компьютеру с именем 'йа' по радмину
на вашем 'йа' дефолтный роут куда смотрит?

[emoxam]

сменил название на fw.conf
перепрописал в rc.conf на него

BSD# ipfw add divert natd ip from any to any via rl0
00100 divert 8668 ip from any to any via rl0
BSD# ipfw list
00100 divert 8668 ip from any to any via rl0
65535 allow ip from any to any
BSD#


радмин через БСД сработал


Шлюз по умолчанию на йа 192.168.0.1 ... проверяю так, отключа.сь от сети 192.168.0.0 и оказываюсь только на 10.10.10.0

проверяю, инет пашеД! ииихааа!
интересно, где же был косяк, столько ж всего сделанно, неужели только в том что скрипт не исполняеться.. может надо в началоа fw.conf написать ipfw ?
я просто не уловлю зависимоти между ipfw и firewall_enabled

[emoxam]

а как правильно настраивать ipfw ? подскажи плииз на примере например того же радмина! чтобы меня хотя бы им пускало после того как я заденаю всё )

[hizel]

тут все зависит от понимания
привязку firewall_enable к ipfw вы можете
обнаружить в директории /etc/rc.d/
например сделать

Код: Выделить всё

cd /etc/rc.d/
grep firewall_enable *

по поводу правильности не правильности можно долго спортить
но я например просто залезаю в /etc/rc.firewall удаляю там все и пишу то что мне надо

[emoxam]

понял! логично!

я вообще имел ввиду любое правило для примера, и его правильный синтаксис, например разрешения радмина снаружи


а причем тут rc.firewall ? у меня же не он указан,! вы его указываете ? или он тоже играет роль ?

[princeps]

У тебя ipfw не цепляет правила из твоего файла. По умолчанию он юзает /etc/rc.firewall. Для простоты переименуй /etc/my.fw.rules в /etc/rc.firewall и удали строчку

Код: Выделить всё

firewall_script="/etc/my.fw.rules"

из rc.conf. Потом разберешься, почему не работает. После этого перезагрузи ipfw.

[princeps]

А ты вообще читал что-нибудь про ipfw хотя бы из того, что на сайте есть?
http://www.lissyara.su/?id=1127
http://www.lissyara.su/?id=1536
Может, какие-то вопросы сами снимутся.

[emoxam]

дядь ) я сменил script на type
откуда я это взял ? подглядел на рабочем сервере, который правда настраивал не я )) дуамю спасет!

скажите мне пожалуйста, как рисовать правила.. я пока читал сделал такой вывод, впрочем могу и ошибаться...

если через sh то вида
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

а если напрямую редактирую то можно просто
add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

прав ли я ?


полез читать, я щас читал что-то на opennet, но на свой вопрос ответа не нашел, загвоздка в чем.. в учебника пишет просто в конф файле строчки без шаманских бубнов, НО
в примере вижу что все команды написанны в виде ${ipfw} add ....
вот и задумался... то что ДО это понятно, объявляем переменные а потом ими фигурируем.. но это требует поллитры, сейчас хотя бы радмин разрешить а остальное нафиг запретить, надеюсь не рухнет все ) и до приезда домой смогу ещё поковырять ))

[princeps]

В целом прав. Тут тебе очень поможет man ipfw.
Вообще две статьи, которые я выше тебе дал, все-таки прочти, там как раз очень хорошо для новичков ipfw с комментариями. У тебя какая-то бессистемная получается настройка, а она достаточно проста - компиляция ядра, правка rc.conf, правка конфигурационного файла .
С type'ом получилось у тебя? Пришли ipfw show

[emoxam]

читаю ) нравиться ) я ей богу думал тут только форум )) он же мне в яндексе попался ))

BSD# ipfw show
00100 2211 439384 divert 8668 ip from any to any via rl0
00200 2697 479249 allow ip from any to any
65535 1 328 allow ip from any to any
BSD#


согласен я запутался слегка ))

вам мужики огромное спасибо! очнь благодарен за то что не бросили и помогли, потратили свое время разобрались в моей ситуации и выручили! в общем у меня закончили слова ) просто СПАСИБО!


ах да, насчет получилось ли, я перед загрузкой вися на радмине черед БСД вклбючи второй ИФ на ЙА, и радмин отвалился, теперь ни так ни так не могу достучаться )) не могу понять почему )) ну shh фурычит!

странно, когда я висел через бсдю и отключил второй ИФ на ЙА радмин не отваливался.. чудеса, наверянка роутинг на ЙА перекосился .. винда что с неё взять с убогой..

[princeps]

Заработал вроде твой нат.
второй ИФ - это ты какой имел в виду? Который к фре подключен?

остальное нафиг запретить, надеюсь не рухнет все

Все рухнет нах кроме радмина твоего . Не пропустит ipfw

[emoxam]

второй ИФ это тот что к роутеру на прямую )) ибо первым стал уже тот что к БСДе )

а ну да.. ну и shh разрешить конечно же )) как же я мог забыть ))

[emoxam]

а вот вопрос, чому так колбасит попытки вйти на ротуре по IP 192.168.0.1 ?
главная старница открываеться но без кнопок а дальше (даже сли наощуп ткнуться) никуда не пускает...

обнаружил ещё вот что!

Код: Выделить всё

BSD# cd /etc
BSD# cat rc.fw.conf
add divert natd ip from any to any via rl0
#add allow ip from any to any

iif="fxp0"
inet="10.10.10.0"
imask="255.255.255.0"
iip="10.10.10.1"

oif="rl0"
onet="192.168.0.0"
omask="255.255.255.0"
oip="192.168.0.4"

myrouter="192.168.0.1"

#${fwcmd} add allow ip from any to any via lo


#Allow SSH in
${fwcmd} add 900 pass tcp from ${myrouter} to ${oip} 109 in via ${oif}

#Allow Radmin in
${fwcmd} add 1000 pass tcp from ${myrouter} to ${oip} 1028 in via ${oif}

#allow emule
${fwcmd} add 1100 pass divert from ${myrouter} to ${oip} 4662 in via ${oif}
${fwcmd} add 1101 pass divert from ${myrouter} to ${oip} 4672 in via ${oif}

#allow torrent
${fwcmd} add 1200 pass tcp from ${myrouter} to ${oip} 26915 in via ${oif}


#Deny all
${fwcmd} add 65000 deny log all from any to any
BSD# 

на что мне любезно отвечают

Код: Выделить всё

line 4: bad command "iif= ' " fxp0 " '

а вроде все по докам.. что не так я делаю ?

[voider]

не ну ваще )) я дал работающий пример и им не воспользовались ))) зачем я тогда его давал? ппц слофф нет...

[emoxam]

гда в твоем примере есть хоть слово о конфе самого файера ?
сейчас речь идет именно о конф файле фаер если что!

[princeps]

На роутер не пускает, потому что у тебя нет правила, разрешающего протокол http. А главную страницу браузер из своего кэша берет.
А bad command, из-за того, что наверное правило divert надо переставить после определений переменных.

[emoxam]

с дивертом попробую.. а насчет http инет же пашет!!!

[princeps]

Как он у тебя может пахать, если ни одного правила, разрешающего http нет? Или я что-то не вижу?