Помогите разобратся со шлюзом

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
irlandets1980
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-23 8:17:52

Помогите разобратся со шлюзом

Непрочитанное сообщение irlandets1980 » 2009-10-23 8:27:25

Есть шлюз -раньше работал с pppoe и все работало появилась необходимость переделать.Один интерфейс получает инет(rl0) другой в сеть (rl1)
интернет есть только на шлюзе дальше не раздается то есть на других машинах инет можно получить только через поднятый на шлюзе сквид мимо сквида не ходит ...

RC.CONFig

Код: Выделить всё

# -- sysinstall generated deltas -- # Fri Oct  2 10:04:38 2009
# Created: Fri Oct  2 10:04:38 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
# -- sysinstall generated deltas -- # Fri Oct  2 13:08:13 2009
mousechar_start="3"
saver="daemon"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
keymap="ru.koi8-r"

# -- sysinstall generated deltas -- # Fri Oct  2 13:20:13 2009
ifconfig_rl0="inet 192.168.2.67  netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.12.1 netmask 255.255.255.0"
defaultrouter="192.168.2.100"
hostname="sun.example.com"
gateway_enable="YES"

#ppp_enable="YES"
#ppp_mode="ddial"
#ppp_nat="YES"
#ppp_profile="aaa"

apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"

#nmbd_enable="YES"
#smbd_enable="YES"
#winbind_enable="YES"

firewall_enable="YES"
firewall_type="/etc/rc.firewall"


#router_flags="-q"
#router="/sbin/routed"
#router_enable="YES"

natd_enable="YES"
natd_interface="rl0"
natd_flags="-same_ports"
rc.firewall:

Код: Выделить всё

#!/bin/sh
ipfw=/sbin/ipfw

${ipfw} -f flush

iif="rl1"  #sokrashenie dlya vnutrennego interfesa
oif="rl0" #--//-- dlya dlya vneshnego PPP interfesa, esli net PPP, nado rlX
#oip="213.27.58.211" #vneshnii IP
iip="192.168.12.1"
ilan="192.168.12.0/24"
bankip="192.168.12.22" #ip propuskaemui mimo proxy
#${ipfw} add divert natd ip from 192.168.2.0/24 to any out via rl0
#${ipfw} add divert natd ip from any to 192.168.12.0/24 in via rl0

#sohranenie vseh packetov v log fail /var/log
#${ipfw} add count log logamount 0 ip from any to any

#primer zapreta vsego s opredelenngo ip
#${ipfw} add deny ip from 218.201.99.55 to me

#lo0 - dolzhno but vsegda
$ipfw add allow ip from any to any via lo0

#razreshit dostut serveru v localnui set'
$ipfw add allow ip from ${ilan} to ${ilan} via ${iif}

#Server - vuhod v INET 
$ipfw add allow ip from me to any via ${oif}

#primer razreshenia dostupa izvne po portu dlya IP
#$ipfw add allow tcp from 90.143.0.0 to me 22,3389 #
#$ipfw add allow tcp from any to me 4899,3389 # 
$ipfw add allow tcp from 87.117.29.194 to me # 

#ping - 
$ipfw add allow icmp from any to me in via ${oif} icmptype 0,3,4,8,11,12 #snaruzhi toka nekotorue pingi
$ipfw add allow icmp from $ilan to any icmptype 0,3,4,8,11,12 # s lan to inet
$ipfw add allow icmp from any to $ilan icmptype 0,3,4,8,11,12 # vozvrat otveta

#DNS to LAN
$ipfw add allow udp from 192.168.2.100 53 to $ilan
$ipfw add allow tcp from 192.168.2.100 53 to $ilan
$ipfw add allow udp from $ilan to 192.168.2.100 53 
$ipfw add allow tcp from $ilan to 192.168.2.100 53

#razreshit IP mimo without proxy
${ipfw} add allow tcp from ${bankip} to any out via $oif

#RDP - probros portov
#
$ipfw add fwd 192.168.12.77,3389 tcp from any to me 3389 via $oif
$ipfw add allow tcp from any to 192.168.12.77 3389 via $oif

# SQUID
#zapret zi seti mimo proxy dlya portov
$ipfw add deny log tcp from $ilan to not $ilan 80,8080,3128,443,21 via $oif

#NATD 
#${ipfw} add divert natd ip from ${ilan} to any out via ${iif}
#${ipfw} add divert natd ip from not $ilan to ${oip} in via ${oif}

#razreshit vhodyashie snaruzhi tolko esli oni iniciirovanu iznutri
${ipfw} add allow ip from any to me via ${oif} keep-state

#zapretit vse istalnue vhodyashie
${ipfw} add deny log tcp from any to me via ${oif}

#LAN -> INET polnui dostup
$ipfw add allow ip from $ilan to any in via ${iif}
$ipfw add allow ip from $ilan to any out via ${oif}

$ipfw add allow ip from any to $ilan in via ${oif}
$ipfw add allow ip from any to $ilan out via ${iif}

#vse ostalnoe - zapretit
${ipfw} add deny log ip from any to any
Последний раз редактировалось paradox 2009-10-23 8:30:09, всего редактировалось 1 раз.
Причина: юзаем тег [code]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение princeps » 2009-10-23 8:38:58

Не в этом ли дело?

Код: Выделить всё

#zapret zi seti mimo proxy dlya portov
ipfw add deny log tcp from $ilan to not $ilan 80,8080,3128,443,21 via $oif
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

irlandets1980
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-23 8:17:52

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение irlandets1980 » 2009-10-23 8:53:19

да нет не в этом там закрыто только четыре порта а не работает например почта то есть 110,25 и т д да и отключать я это правило пробовал

jammin
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-25 8:45:31

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение jammin » 2009-10-23 9:42:05

а каким образом клиент может выйти в инет через шлюз, если у вас все диверты в фаере закомментированы?
копайте конфиг.
а лучше всего - идите от простого к сложному: сначала просто разрешите ВСЁ и ВСЕМ и настройте диверты. Если все работает - потихоньку добавлять правила.

irlandets1980
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-23 8:17:52

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение irlandets1980 » 2009-10-23 9:51:29

я счас уберу из rc.conf внешний интерфейс раскомментирую все что касается ppoe воткну модем и все заработает с этим кофигом файервола.
а вот без pppoe не работает в чем разница я не пойму...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение princeps » 2009-10-23 10:04:09

jammin писал(а):а каким образом клиент может выйти в инет через шлюз, если у вас все диверты в фаере закомментированы?
:) Да, ната-то нет? Как они без ната? Только через сквид
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

jammin
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-25 8:45:31

Re: Помогите разобратся со шлюзом

Непрочитанное сообщение jammin » 2009-10-23 10:21:00

irlandets1980 писал(а):я счас уберу из rc.conf внешний интерфейс раскомментирую все что касается ppoe воткну модем и все заработает с этим кофигом файервола.
а вот без pppoe не работает в чем разница я не пойму...
все заканчивается как обычно...
на конкретный совет, как всегда, ответ в стиле "да нифига! у меня ж все работало!".
"Пилите, Шура..." ©.