Прозрачный прокси squid

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Прозрачный прокси squid

Непрочитанное сообщение FreePascal » 2006-05-14 8:57:45

Мочи моей больше нет, squid меня доконает, помогите люди добрые кто чем может, подскажите в каком месте я дурак целых 2 недели на грабли наступаю!!!

Соединение с нетом у меня диалап с калбеком, IP внешний и внутрений видно в настройках ipfw

Ну начнем с простого конф ядра GENERIC+вот ето:

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options TCP_DROP_SYNFIN
options IPDIVERT
rc.conf у меня выглядит так:

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="xlam.meteo"
ifconfig_rl0="inet 192.168.101.50  netmask 255.255.255.0"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="fast"
linux_enable="YES"
mousechar_start="3"
moused_enable="YES"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="NO"
usbd_enable="YES"

firewall_enable="YES"
firewall_type="/etc/rc.firewalliwe"
firewall_logging="YES"

natd_enable="YES"
natd_interface="tun0"
natd_flags="-m -u"

squid_enable="YES"
в squid.conf дописал вот ето:

Код: Выделить всё

http_port 192.168.101.50:3128
visible_hostname 192.168.101.50
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
А теперь самое сложное для меня -- правила ipfw на данный момент потому как у меня их было уже море и я запутался уже в них!!!!
rc.firewalliwe:

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="tun0"            # внешний интерфейс
LanIn="rl0"             # внутренний интерфейс
IpOut="194.44.8.29"  # внешний IP адрес машины
IpIn="192.168.101.50"    # внутренний IP машины
NetMask="24"            # маска сети (если она разная для внешней
                        # и внутренней сети - придётся вводить ещё
                        # одну переменную, но самое забавное, что
                        # можно и забить - оставить 24 - всё будет
                        # работать, по крайней мере я пробовал -
                        # работаало на 4-х машинах, в разных сетях,
                        # с разными масками - настоящими разными! но -
                        # это неправильно.)
NetIn="192.168.101.0"     # Внутренняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0

# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add deny log ip from any to 127.0.0.0/8
${FwCMD} add deny log ip from 127.0.0.0/8 to any

# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# а тут собственно файрволл и начался:

# отправляем всех на frox
#${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanIn}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
#${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима):
#${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 40000-65534 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
#${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SNMP) если на машине крутится почта
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpIn}  25 via ${LanIn}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpIn} 22 via ${LanIn}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
#${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
#${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}

# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}

# ICQ
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any 5190 out via ${LanOut}
${FwCMD} add allow udp from ${NetIn}/${NetMask} to any 5190 out via ${LanOut}
# DNS
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add allow udp from ${NetIn}/${NetMask} to any out via ${LanOut}

# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny log ip from any to any
Ну вроди бы все написал, если чтото забыл пишите все выложу!!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 9:56:03

А вот нахрена тебе стока правил, еслит ты не знаешь что они делают?
делай файрволл из 3-4 правил, которые понимаешь, потом добавляй остальное.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-05-14 9:57:02

пинг во внешний мир есть?

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 11:05:42

Пинг с самого сервера в иннет есть а с сети нет

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 11:08:42

Код: Выделить всё

ps -axj | grep natd
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 13:33:45

ps -axj | grep natd

Код: Выделить всё

root   47435     1 47435 47435    0 Is    ??    0:00.00 /sbin/natd -m -u -n tun

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 15:05:12

Вот еще прикол, аська тоесть не она самая а ее аналог qip подключился и нормально работает прокся при етом негде не указана с ИнтернетЭксплорера и с Фаерфокса проксю уберал всеравно аська работает!!!!!!

А браузер не один не работает, только с указанием прокси работает!!!!!

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 15:18:54

Да аська появилась как только я DNS вписал в настройках сети под виндовсом, DNS с resolv.conf взял, но браузеры попрежнему в ауте

Не судите меня строго я же не волшебник я просто учюсь!!!!

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-05-14 15:23:11

аська никакого отношения к броузеру не имеет.
Сформулируй конкретно, что ты хочешь настроить и, что у тебя работает, что нет.
А вообще тебе надо разобраться с основами работы сети, а ты конфиг у lissyarы такой страшный взял, он любого новичка наповал положит :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 15:40:21

нормальный конфиг... на трёх серверах у меня пашет.... даже на четырёх...
тока не надо такие конфиги пихать не думая... надо свой писать. с нуля. тогда хоть понимаешь что там происходит.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-05-14 15:49:35

Страшный-страшный (шучу конечно :) ), я после аутпоста был сначала поражён, распечатал себе 3 описания ipfw (благо в инете их сейчас полно) и с неделю пытался осознать, что к чему и куда лепить. Вот в чём прелесть ручных настроек: пришлось разобраться (хотя бы с основами) со многими технологиями. И теперь понимаешь как ЭТО работает.

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 16:30:32

Тогда задам такие вопросы которые меня наиболее интиресуют
В скобках мои ответы на вопросы

1 С какими опциями компилировать squid?
(./configure --enable-ipf-transparent --enable-pf-transparent)

2 Нужно ли создавать natd.conf и что в него писать?
(нет не надо хватит опций что я задал в rc.conf)

3 Какие минимальные правила для ipfw чтобы получился прозрачный прокси?
( ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} )

4 Какие дополнительные настройки сети под виндовсом??
(дописать Основно Шлюз)

5 Как узнать что natd и ipfw работают???
(?????)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 16:36:44

1. ставить из портов
2. хватит
3. а в обратную сторону натить не надо?
4. тока шлюз
5. попинговать яндекс из локалки
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 16:56:55

lissyara писал(а): 1. ставить из портов
Ето я тебя так понял

Код: Выделить всё

cd /usr/ports/www/squid
make install
И в меню что появляется никаких опций не выбирать???
lissyara писал(а): 3. а в обратную сторону натить не надо?
Я так понял что к вышесказанному

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
добавить вот ето

Код: Выделить всё

${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} 
???????????????

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 17:14:53

Под виндой пингую:

Код: Выделить всё

C:\Documents and Settings\root>ping mail.ru
При проверке связи не удалось обнаружить узел mail.ru. Проверьте имя узла и повт
орите попытку.
а если пинговать маилру через айпи то получим ето:

Код: Выделить всё

C:\Documents and Settings\root>ping 194.67.57.26

Обмен пакетами с 194.67.57.26 по 32 байт:

Ответ от 194.67.57.26: число байт=32 время=1734мс TTL=104
Ответ от 194.67.57.26: число байт=32 время=226мс TTL=104
Ответ от 194.67.57.26: число байт=32 время=223мс TTL=104
Ответ от 194.67.57.26: число байт=32 время=222мс TTL=104

Статистика Ping для 194.67.57.26:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 222мсек, Максимальное = 1734 мсек, Среднее = 601 мсек

Вот так вот!!!

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-05-14 17:20:41

dns пропиши в форточках

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 17:27:14

что надо - то и выбирай. :)
можешь оставить по дефолту, если не знаешь что тебе надо.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 17:28:34

northern писал(а): dns пропиши в форточках
А что значит форточки???

Я же говорил что не волшебник а только учусь!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 17:30:57

на клиентских машинах.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-05-14 17:34:36

Под виндой пингую:
windows она же винда, она же окошко, она же форточка и т.д.

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 17:35:17

С форточкиной консоли типерь пингуется но с браузена всеравно никуда не идет

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 17:49:06

Код: Выделить всё

ps -axj | grep squid
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-14 17:50:20

в догонку, сразу:

Код: Выделить всё

ifconfig
а также

Код: Выделить всё

ipfw list
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 17:54:34

ps -axj | grep squid

Код: Выделить всё

squid  47749     1 47749 47749    0 Is    ??    0:00.00 /usr/local/sbin/squid -
squid  47751 47749 47749 47749    0 S     ??    0:05.38 (squid) -D (squid)
squid  47752 47751 47752 47752    0 Is    ??    0:00.01 (unlinkd) (unlinkd)
Если в браузере указать прокси то все работает

PS
если бы не работало то тут бы небыло моих постов

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-05-14 17:58:43

ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=8<VLAN_MTU>
	inet6 fe80::202:44ff:fea5:67a8%rl0 prefixlen 64 scopeid 0x1 
	inet 192.168.101.250 netmask 0xffffff00 broadcast 192.168.101.255
	ether 00:02:44:a5:67:a8
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet 127.0.0.1 netmask 0xff000000 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
	inet 194.44.8.24 --> 194.44.82.51 netmask 0xffffff00 
	Opened by PID 48386
ipfw list

Код: Выделить всё

00100 check-state
00200 allow ip from any to any via lo0
00300 deny log logamount 1000 ip from any to 127.0.0.0/8
00400 deny log logamount 1000 ip from 127.0.0.0/8 to any
00500 deny ip from any to 10.0.0.0/8 in via tun0
00600 deny ip from any to 172.16.0.0/12 in via tun0
00700 deny ip from any to 192.168.0.0/16 in via tun0
00800 deny ip from any to 0.0.0.0/8 in via tun0
00900 deny ip from any to 169.254.0.0/16 in via tun0
01000 deny ip from any to 224.0.0.0/4 in via tun0
01100 deny ip from any to 240.0.0.0/4 in via tun0
01200 deny icmp from any to any frag
01300 deny log logamount 1000 icmp from any to 255.255.255.255 in via tun0
01400 deny log logamount 1000 icmp from any to 255.255.255.255 out via tun0
01500 fwd 127.0.0.1,3128 tcp from 192.168.101.0/24 to any dst-port 80 via tun0
01600 divert 8668 ip from 192.168.101.0/24 to any out via tun0
01700 divert 8668 ip from any to 194.44.8.24 in via tun0
01800 deny ip from 10.0.0.0/8 to any out via tun0
01900 deny ip from 172.16.0.0/12 to any out via tun0
02000 deny ip from 0.0.0.0/8 to any out via tun0
02100 deny ip from 169.254.0.0/16 to any out via tun0
02200 deny ip from 224.0.0.0/4 to any out via tun0
02300 deny ip from 240.0.0.0/4 to any out via tun0
02400 allow tcp from any to any established
02500 allow ip from 194.44.8.24 to any out xmit tun0
02600 allow udp from any 53 to any via tun0
02700 allow udp from any 53 to any via rl0
02800 allow udp from any to any dst-port 123 via tun0
02900 allow icmp from any to any icmptypes 0,8,11
03000 allow tcp from any to 194.44.8.24 dst-port 25 via tun0
03100 allow tcp from any to 192.168.101.250 dst-port 25 via rl0
03200 allow tcp from any to 192.168.101.250 dst-port 22 via rl0
03300 allow tcp from any to any via rl0
03400 allow udp from any to any via rl0
03500 allow icmp from any to any via rl0
03600 allow tcp from 192.168.101.0/24 to any dst-port 5190 out via tun0
03700 allow udp from 192.168.101.0/24 to any dst-port 5190 out via tun0
03800 allow tcp from 192.168.101.0/24 to any out via tun0
03900 allow udp from 192.168.101.0/24 to any out via tun0
04000 deny log logamount 1000 ip from any to any
65535 deny ip from any to any