не могу настроть шлюз на FreeBSD 6.2

[emoxam]

да я сам в шоке! даже торрент пашет, а вот осел не пашет ....
чесслво проверял - инет пашет! веб серфиться на ура!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[voider]

гда в твоем примере есть хоть слово о конфе самого файера ?
сейчас речь идет именно о конф файле фаер если что!

а ты знаешь что такое

Код: Выделить всё

firewall_type="open"

?

[emoxam]

знаю но нафига мне open ? с open уже работало!
сменить на firewalltype= и указал конф файл

сам конф файл лежит на предыдущей странице форума, я не пойму какую мысль ты пытаешься до меня донести ?
вопрос почему с роутером глюки ?

[voider]

знаю но нафига мне open ? с open уже работало!
сменить на firewalltype= и указал конф файл

сам конф файл лежит на предыдущей странице форума, я не пойму какую мысль ты пытаешься до меня донести ?
вопрос почему с роутером глюки ?

а че тогда молчишь? сказал бы что работает я бы ушел бы с темы. и вооще надо кнопочкуп спасибо придумать )

ты не знаешь что такое опен )) ты же сам написал

навеярнка что-то забыл, я в никсах только неделю ))

"open" это не просто опен ,а это правило в rc.firewall открой этот файл и найди [Oo][Pp][Ee][Nn] | [Cc][Ll][Ee][Nn][Tt] там увидешь правило для "open" по которому работает конфиг. и моежшь граммнотно от туда скопировать то что надо .

[princeps]

Не надо опен, это очень плохая практика даже для новичка. В инете полно наборов правил, в одной из статей, которых я давал есть замечательный конфиг для новичка - скопировал и вставил и все работает.
Что-то у тебя неладное твориться с твоим шлюзом. Сделай снова ipfw show и выложи сюда. По идее, раз он у тебя пишет ошибку в такой-то строке, значит вообще не должен грузить твой файл с правилами.
А веб-морда маршрутизатора у тебя не работает, потому что пакеты не могут найти дорогу обратно Маршрутизатор считает, что пакет, пришедший с 192.168.0.хх - это из внутренней сети, а все остальные - из интернета, поэтому пакеты на 10.10.10.хх отправляет во внешнюю сеть. Такое может быть, если не работает нат. А не работает он потому что не грузится файл с правилами - о чем см. выше.

[emoxam]

вот и я не хочу опен!
и тем более не хочу редактировать файл по умолчанию!

а насчет см. выше не понял! объяснение понял! некорректно настроен НАТ ? хм.. остаоль только теорию совместить с практикой )))

[voider]

вот и я не хочу опен!
и тем более не хочу редактировать файл по умолчанию!

а насчет см. выше не понял! объяснение понял! некорректно настроен НАТ ? хм.. остаоль только теорию совместить с практикой )))

да никто не просит редактровать его поумолчанию ты скопируй от туда стройчки диверт в новый файл правил и ,а потом добавляйтуда правила.

[princeps]

некорректно настроен НАТ ? хм.. остаоль только теорию совместить с практикой )))

Некорректно написан файл правил, из-за чего ipfw его не грузит, соответственно правило, перенаправляющее пакеты на natd не работает. Ipfw show в студию

[emoxam]

BSD# ipfw show
65535 354 40238 allow ip from any to any
BSD#

[princeps]

хехе не грузится твой конфиг, переставь уже наконец строчку divert после определений переменных.

[emoxam]

сменил..

Код: Выделить всё

$ cat rc.fw.conf
#add allow ip from any to any

iif="fxp0"
inet="10.10.10.0"
imask="255.255.255.0"
iip="10.10.10.1"

oif="rl0"
onet="192.168.0.0"
omask="255.255.255.0"
oip="192.168.0.4"

myrouter="192.168.0.1"

#${fwcmd} add allow ip from any to any via lo

add divert natd ip from any to any via rl0


#Allow SSH in
${fwcmd} add 900 pass tcp from ${myrouter} to ${oip} 109 in via ${oif}

#Allow Radmin in
${fwcmd} add 1000 pass tcp from ${myrouter} to ${oip} 1028 in via ${oif}

#allow emule
${fwcmd} add 1100 pass divert from ${myrouter} to ${oip} 4662 in via ${oif}
${fwcmd} add 1101 pass divert from ${myrouter} to ${oip} 4672 in via ${oif}

#allow torrent
${fwcmd} add 1200 pass tcp from ${myrouter} to ${oip} 26915 in via ${oif}


#Deny all
${fwcmd} add 65000 deny log all from any to any
$

Код: Выделить всё

Mar  6 19:47:54 BSD kernel: Starting divert daemons:
Mar  6 19:47:54 BSD kernel: natd
Mar  6 19:47:54 BSD kernel: Flushed all rules.
Mar  6 19:47:54 BSD kernel: Line 3:
Mar  6 19:47:54 BSD kernel: bad command `iif="fxp0"'
Mar  6 19:47:54 BSD kernel:
Mar  6 19:47:54 BSD kernel: Firewall rules loaded
Mar  6 19:47:54 BSD kernel: .
Mar  6 19:47:54 BSD kernel: Firewall logging enabled
Mar  6 19:47:54 BSD kernel: net.inet.ip.fw.enable:
Mar  6 19:47:54 BSD kernel: 1
Mar  6 19:47:54 BSD kernel: ->
Mar  6 19:47:54 BSD kernel: 1
Mar  6 19:47:54 BSD kernel:
Mar  6 19:47:54 BSD kernel: Mounting NFS file systems: 

Код: Выделить всё

$ cat rc.conf

# -- sysinstall generated deltas -- # Sun Mar  2 23:52:19 2008
# Created: Sun Mar  2 23:52:19 2008
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
firewall_enable="YES"
firewall_type="/etc/rc.fw.conf"
firewall_logging="YES"
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="192.168.0.4"
natd_flags="-m -u -redirect_port tcp 10.10.10.2:4899 1028"
hostname="BSD.local"
ifconfig_fxp0="inet 10.10.10.1  netmask 255.255.255.0"
keymap="ru.koi8-r"
#linux_enable="YES"
sshd_enable="YES"
named_enable="YES"
named_flags="-u bind"
ifconfig_rl0="DHCP"
defaultrouter="192.168.0.1"
usbd_enable="NO"
inetd_enable="YES"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO" 

и рдмин перестал работать через БСД.. впрочем и напрямую тоже (( чертче и сбоку бантик!

[emoxam]

насчет через БСД я погорячился, у меня выключен на компе йа этот линк (который на БСД)

[princeps]

Ругается теперь на 4 строку? И ipfw show сразу выкладывай.

[emoxam]

BSD# ipfw show
65535 3073 396764 allow ip from any to any
BSD#

[hizel]

так , внимание
то что вы суете в firewall_type
это шел скрипт
однако firewall_type не предполагает такого
там что то типа ipfw скрипта

лучше уж снести все сохранив копию из /etc/rc.firewall
и писать там то что вы здесь пишете

[emoxam]

я и сам понял что почему то не подхватывается файрвол .. искал почему, но то чт ты написал, это я прости не понял нешиша. особенно

что такое шел скрипт ? что такое не шел скрипт ? что такое ipfw скрипт ?

ну а впрочем рекомендацию понял, я вот тока если честно боюсь таких громоздких файлов, потому и пытаюсь все сам нарисовать

так , внимание
то что вы суете в firewall_type
это шел скрипт
однако firewall_type не предполагает такого
там что то типа ipfw скрипта

лучше уж снести все сохранив копию из /etc/rc.firewall
и писать там то что вы здесь пишете

[hizel]

визуально

shell скрипт

Код: Выделить всё

ipfw=/sbin/ipfw

$ipfw add 100 ip from any to any via lo0

ipfw скрпит

Код: Выделить всё

add 100 ip from any to any via lo0

не растраивайтесь тут много народу родом из Window$
давно замечено, что сей продукт разлагающе действует на неокрепшие молодые умы

в чем приятность shell скрипта
в нем есть переменные, циклы, условные переходы
вобщем все радости настоящего языка программирования

для человека обладающего навыками
процедурного программирования, очень приятственно

примерно такая мысль

[emoxam]

этот форум будет моей бибилией "для лохов"
так что не закрывайте его и бекапьте бекапьте бекапьте ))))))

[emoxam]

так чтож получаеться шел скрипт туда не забубенить ??? хм.. я сверялся с рабочим роутером... и все эти прелести объявление переменных спичсывал оттуда и составлял свои по аналогии...

[hizel]

не надо самоуничтожается так )
да и не забывайте всетаки, что в вопросе содержится половина ответа
по секрету вам скажу, это правда!

[emoxam]

вопрос на засыпку..
вбиваю
BSD# ipfw add divert natd ip from any to any via rl0
01200 divert 8668 ip from any to any via rl0
BSD#

а в конце rc.fw.conf не появляеться этой строки... она там кончено есть.. но ближе к началу.. что я не так делаю ? и где появиться эта строка ? или я что-то не так понимаю ?

P.S. не ругайтесь, я пока ещё не совсем созра до ковыряний копии дефолтного файла ) хочу сам, Все сам )

[emoxam]

эт я просто не устаю Вас благодарить мужики!!! нет слов одни эмоции!!!

[hizel]

то, что вы
делаете из командной строки
добавляется в фаервол
то, что вы
пишете в conf
с помощью ipfw команды
тоже добавляется в фаервол

это два метода манипулирования фаерволом
между собой они никак не связаны

прочтите хэндбук, будте ласковы

[Morty]

думаю лучше "учить" ipfw приблизительно в следующей манере:
у тебя сейчас есть свой скрипт который юзаеться при старте,
единственное добавь туда вначало

Код: Выделить всё

FwCMD="/sbin/ipfw"
${FwCMD} -f flush  # сброс правил
.....
# тут идут дальшще правила которые тебе нада
# диверт
# add allow from any to any (или deny как сам решиш в итоге) 
тут пишешь правила какие хочешь (в скрипте не надо их нумеровать 
система их сама пронумерует, соотвесно порядок следования правил важен)

тоесть у тебя есть скрипт с набором правил для ipfw
добавил / исправил правило в скрипте , потом даешь

Код: Выделить всё

#sh ipfw.my.rules

тоесть на запущенной системе пререзагружаешь набор правил и смотришь что получилось
ты в итоге проверяешь правильность /последовательность правил и будешь знать отработают ли они так как тебе надо при старте системы. Сброс правил тебе даст то что при правке всё будет сгружаться как с чистого листа.
Тоесть не надо постоянно ребутить систему или в ручную нумеровать правила и загонять их с консоли.(не факт что загнав с консоли оно заработает с ребута).
ЗЫ: надеюсь поможет, всетаки так легче ковырять IPFW, заодно глянь на сайте - там есть пример набора правил

[princeps]

У каждого, конечно, по-своему, но мне кажется, что правильнее всего учить, разбирая рабочие скрипты. Вот emoxam взял конфиг с какой-то рабочей машины, а он сложен для понимания. Надо было статью Лисяры юзать, она специально для новичков. Пока переделаешь все под свою систему и научишься заодно. Скажи, удалось тебе конфиг-то загрузить? Я обычно беру дефолтный /etc/rc.firewall, удаляю все из него и пишу свои правила. После чего все работает безо всяких дополнительных наворотов.