Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-28 13:52:48
ну да пробую
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1 log logamount 1000 tcp from any to 'table(1)' via vlan1
тоже не открывает
vasilastr
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-28 15:59:28
А каким правилом можно перенаправить пользователя заходящего из вне на внутреннею сетку на определенный хост по определенному порту
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-28 18:44:52
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1,80 log logamount 1000 tcp from any to 'table(1)' via vlan1
и перед натом
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-28 18:46:05
vasilastr писал(а):А почему это правило должно быть перед натом
потому что правила обрабатываются до первого совпадения (в основном), по-этому у тебя сразу пакет попадает в НАт и до форварда не доходит.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-29 8:51:50
Ясно
А как мне сделать так (какое правило нужно приписать) чтобы удаленный комп с адресом 213.85.65.45, по интернету заходя на адрес 213.85.65.45 по подал во внутреннюю лакалку на комп 192.168.0.40
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 10:16:22
vasilastr писал(а):Ясно
А как мне сделать так (какое правило нужно приписать) чтобы удаленный комп с адресом
213.85.65.45, по интернету заходя на адрес
213.85.65.45 по подал во внутреннюю лакалку на комп 192.168.0.40
или я туплю или это один и тот же адрес.
на счет проброса, тут вот есть
http://forum.lissyara.su/viewtopic.php? ... 25#p102566
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-29 14:33:14
Почитал я форум интересного много, вывод: создал я фаил natd.conf
Код: Выделить всё
log yes
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes
redirect_port tcp 192.168.0.11:4899 4899
redirect_port tcp 192.168.0.14:3389 3389
А вот как в фаерволе правило написать чтобы доступ былс определенного внешнего IP адреса
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 15:02:24
Код: Выделить всё
ipfw add deny tcp from not IP1, IP2 to me in 3389, 4899 via EXT_IF
вроде как-то так
типа запрещаем всем, кроме определенных ИПов
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 15:13:31
так удодбнее даже. мона ИПы на лету добавлять/удалять. не перегружая фаер
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 15:28:19
например? не понял вопроса
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-29 15:33:58
Ну задовать номер порта
можно любой ?
главное чтобы потм по нему заходили??
vasilastr
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-29 15:41:58
Вот такую ошибку выдает
Вот такое правило
Код: Выделить всё
$fwcmd add 71 deny tcp from not 'table(2)' to me in 6001 via $ext_if
Правило стоитперед натом
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 15:56:12
угу
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-29 16:03:15
Чет не получается ошибык вроде нету да и удаленно не пускает, а правило перед натом должно быть ???
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-29 16:56:35
должно еще быть разрешение на входящий трафик на внутренний интерфейс , ну и обратно.
посмотри тот пример, что я бросал (на счет 2-х каналов), там у меня на шлюзе нет сервисов, все внутри сети.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-30 9:48:12
Это не это
Код: Выделить всё
00800 94674059 42505044232 count ip from any to any in recv rl0
00900 87887836 63995113504 count ip from any to any out xmit rl0
vasilastr
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
-
Контактная информация:
Непрочитанное сообщение
schizoid » 2009-01-30 11:27:36
это подсчет
добавь логирование во все правила и посмотри чем режет. и добавь разрешающее
ядерный взрыв...смертельно красиво...жаль, что не вечно...
schizoid
-
vasilastr
- ст. сержант
- Сообщения: 387
- Зарегистрирован: 2008-09-04 15:12:00
Непрочитанное сообщение
vasilastr » 2009-01-30 11:33:39
Я добавил
Код: Выделить всё
$fwcmd add 110 allow ip from any to any in via $int_if
$fwcmd add 111 allow ip from any to any out via $int_if
vasilastr