заблокировать icq идругие мессенджеры

[-cat-]

Немножко от себя:

значит я не прав у меня прокси не прозрачный так как я во всех брайзерах пользователей указываю обращатся на 192.168.0.100:3128

такой командой в IPFW

Код: Выделить всё

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80

обычно реализуется как раз прозрачное проксирование, но трафик должен заворачиваться на порт и IP что еще важнее, который слушает прокси сервер, а он у тебя 192.168.0.100:3128.
Теперь получается ты мало того не делаешь прозрачного прокси, но еще и гоняешь запросы по кругу. Рекомендую посчитать сколько кругов нарезается учитывая интерфейсы.
Почему везде пишут именно 127.0.0.1:3128, да потому что по умолчанию в Squid используется строка

Код: Выделить всё

http_port 3128

, которая означает, что SQUID слушает ВСЕ!!! локальные интерфейсы, у тебя же он слушает, только 192.168.0.100:3128. Такая конструкция более правильна и более защищённая, только надо помнить, или хотя бы смотреть, что куда и откуда.
И ещё настоятельно советую раз и навсегда разобраться с IPFW, понять наконец для чего и когда используется setup, established.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[demondem10]

понял спс.... squid.conf

Код: Выделить всё

http_port  3128

ipfw

Код: Выделить всё

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80

${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}

если squid слушает все адреса моего сервера как внутр так и внешний из браузера я как обращался
192,168,0,100;3128 так и буду обращатся правильно, и что бы было все правильно при таком раскладе, я убираю вообще строки из ipfw

Код: Выделить всё

   ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any

squid меня все равно не пускает 80 вот что у меня получается

Код: Выделить всё

setup_loopback () {
	${fwcmd} add 100 pass all from any to any via lo0
	${fwcmd} add 200 deny all from any to 127.0.0.0/8
	${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

fwcmd="/sbin/ipfw"


${fwcmd} -f flush


	# set these to your outside interface network and netmask and ip
	oif="rl0"
	onet="111.222.333.164"
	omask="255.255.255.252"
	oip="111.222.333.166"
	
	# set these to your inside interface network and netmask and ip

	iif="sis0"
	inet="192.168.0.0/24"
	imask="255.255.255.0"
	iip="192.168.0.100"
	
/usr/local/bin/tcpmssd -p 10000 -m 1280

	${fwcmd} add check-state

setup_loopback
		
	
           ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 via ${oif} 
(ipfw show показывает 0 пакетов на эту строку а tail -f показывает что загрузка идет) в этом тоже ???
		
	${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
	${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}
	
#	${fwcmd} add allow all from any to 192.168.0.10 
#	${fwcmd} add allow all from 192.168.0.10 to any 
	
	${fwcmd} add allow ip from ${oip} to any out via ${oif} (мой сервер ходит в нэт)
######################## modem sections #############################
#	${fwcmd} add allow tcp from any to me 
	${fwcmd} add allow gre from any to any
	${fwcmd} add allow ip from any to any via tun0
#######################################################################################################
	#Bank Cliebt KKB
	${fwcmd} add allow all from 192.168.0.8 1024-2000 to any 1024-2000 
	${fwcmd} add allow all from any 1024-2000 to 192.168.0.8 1024-2000

#	Stop spoofing
	${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
	${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
		
# Stop RFC1918 nets on the outside interface
	${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
	${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

#	${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
	${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
	${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
	${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
	${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
# Allow TCP through if setup succeeded
	
	${fwcmd} add pass tcp from any to any established
     		
	${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
	${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup	
	${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
	${fwcmd} add pass tcp from any to ${oip} 53 setup
	${fwcmd} add pass udp from any to ${oip} 53
	${fwcmd} add pass udp from ${oip} 53 to any

	${fwcmd} add pass icmp from any to any
	
	# Allow DNS queries out in the world
	${fwcmd} add pass udp from ${oip} to any 53 keep-state
	
	# Reject&Log all setup of incoming connections from the outside

	${fwcmd} add deny all from any to any

-CAT- разве это не правильная конфигурация???

[demondem10]

Да жить она не может!!! вот только почему??? и ни как не пойму!!! уже голова болит!
пойду отдохну а потом за бубен!

[-cat-]

Естественно нет, внутренняя сеть полностью блокирована

Код: Выделить всё

etup_loopback () {
   ${fwcmd} add 100 pass all from any to any via lo0
   ${fwcmd} add 200 deny all from any to 127.0.0.0/8
   ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

fwcmd="/sbin/ipfw"


${fwcmd} -f flush


   # set these to your outside interface network and netmask and ip
   oif="rl0"
   onet="111.222.333.164"
   omask="255.255.255.252"
   oip="111.222.333.166"
   
   # set these to your inside interface network and netmask and ip

   iif="sis0"
   inet="192.168.0.0/24"
   imask="255.255.255.0"
   iip="192.168.0.100"
   
/usr/local/bin/tcpmssd -p 10000 -m 1280

   ${fwcmd} add check-state

setup_loopback
      
   
 ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 via ${oif}
(ipfw show показывает 0 пакетов на эту строку а tail -f показывает что загрузка идет) в этом тоже ???
 
Сюда добавим чего нибудь такое (кстати не самый удачный вариант)
${fwcmd} add allow all from ${inet}:${imask} to  ${inet}:${imask}  via ${iif}
такой командой мы открыли внутреннюю сеть, для внутренней сети. Теперь если нужен доступ для кого-то без прокси, тогда бежим вниз

     
   ${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
   ${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}
   

А вот тут сделаем экслюзив для себя-любимого!!!, только неувязочка будет с прозрачным прокси, да и с UDP ну это уж сам иначе так ничего и не поймешь

${fwcmd} add allow all from (IP себя -любимого, или сервера, или начальника) to any via ${iif}
${fwcmd} add allow all from any  to (IP себя -любимого, или сервера, или начальника) via ${iif}


#   ${fwcmd} add allow all from any to 192.168.0.10
#   ${fwcmd} add allow all from 192.168.0.10 to any
   
${fwcmd} add allow ip from ${oip} to any out via ${oif} (мой сервер ходит в нэт)
По TCP он может и будет ходить, а с UDP обломись



######################## modem sections #############################
#   ${fwcmd} add allow tcp from any to me
   ${fwcmd} add allow gre from any to any
   ${fwcmd} add allow ip from any to any via tun0
#######################################################################################################
   #Bank Cliebt KKB
   ${fwcmd} add allow all from 192.168.0.8 1024-2000 to any 1024-2000
   ${fwcmd} add allow all from any 1024-2000 to 192.168.0.8 1024-2000

#   Stop spoofing
   ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
   ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
      
# Stop RFC1918 nets on the outside interface
   ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
   ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

#   ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
   ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
   ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
   ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
   ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
# Allow TCP through if setup succeeded
   
   ${fwcmd} add pass tcp from any to any established
           
   ${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup   
   ${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 53 setup
   ${fwcmd} add pass udp from any to ${oip} 53
   ${fwcmd} add pass udp from ${oip} 53 to any

   ${fwcmd} add pass icmp from any to any
   
   # Allow DNS queries out in the world
   ${fwcmd} add pass udp from ${oip} to any 53 keep-state
   
   # Reject&Log all setup of incoming connections from the outside

   ${fwcmd} add deny all from any to any

вроде как-то так может чего и забыл

[demondem10]

-CAT-
спасибо за конфиг я его зарядил! но в инет ни кто не попадает даже я со свои разрешенным IP сразу ниже ната

Код: Выделить всё

etup

я поправил!
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 via ${oif}
в сквиде я поставил

Код: Выделить всё

http_port 3128

сквид всех отбрасывает!

[demondem10]

что происходит не пойму!!!
пока в конце на пропишешь allow all tcp from any to any ничего не работает!

[-cat-]

Код: Выделить всё

ipfw show

и еще раз rc.firewall в студию

[demondem10]

есть два фаера 1 rc.firewall сейчас работает он мой - работает коряво так как icq и всякая всячина выходит в обход прокси что слушает http_port 192,168,0,100:3128 вот его конф!

Код: Выделить всё

setup_loopback () {
	${fwcmd} add 100 pass all from any to any via lo0
	${fwcmd} add 200 deny all from any to 127.0.0.0/8
	${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

fwcmd="/sbin/ipfw"


${fwcmd} -f flush

	# set these to your outside interface network and netmask and ip
	oif="rl0"
	onet="111,222,333.164"
	omask="255.255.255.252"
	oip="111,222,333.166"

	
	# set these to your inside interface network and netmask and ip

	iif="sis0"
	inet="192.168.0.0/24"
	imask="255.255.255.0"
	iip="192.168.0.100"
	
/usr/local/bin/tcpmssd -p 10000 -m 1280

setup_loopback

	${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} via ${iif}
	
	${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 via ${oif}
 
		
	${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
	${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}

	
	${fwcmd} add allow all from any to 192.168.0.10 via ${oif}
	${fwcmd} add allow all from 192.168.0.10 to any via ${oif}
	
	
######################## modem sections #############################
	
	${fwcmd} add allow tcp from any to me 
	${fwcmd} add allow gre from any to any
	${fwcmd} add allow ip from any to any via tun0

#######################################################################################################
	#Bank Cliebt KKB
	${fwcmd} add allow all from 192.168.0.8 1024-2000 to any 1024-2000 
	${fwcmd} add allow all from any 1024-2000 to 192.168.0.8 1024-2000

#	Stop spoofing
	${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
	${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

	${fwcmd} add check-state
		
# Stop RFC1918 nets on the outside interface
	${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
	${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
	${fwcmd} add allow all from any to 192.168.0.99 via ${oif}

	${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
	${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
	${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
	${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
	
            ${fwcmd} add pass tcp from any to any established
	
	##################################
	# Allow IP fragments to pass through
	
	${fwcmd} add pass all from any to any frag
	# Allow setup of incoming email
		
	${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
	${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup	
	${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
	${fwcmd} add pass tcp from any to ${oip} 53 setup
	${fwcmd} add pass udp from any to ${oip} 53
	${fwcmd} add pass udp from ${oip} 53 to any
	
	
	# Allow setup of any other TCP connection

	${fwcmd} add pass tcp from any to any setup
	${fwcmd} add pass udp from any to any setup
	${fwcmd} add pass icmp from any to any
	
	# Allow DNS queries out in the world
	${fwcmd} add pass udp from ${oip} to any 53 keep-state
	
	# Reject&Log all setup of incoming connections from the outside

	${fwcmd} add deny all from any to any

и второй фаер rc.firewall_new тот что предложил -CAT- squid должен слушать http_port 3128 при его конфиге ничего не работает и любое соединение отбрасывается squid-om а без него вообще не соединяется! вот его конфиг



я в полном недоумении??? давайте разбираться !!!

[-cat-]

Где вывод ipfw show?
Прежде чем тупо перекатывать все что пишут надо бы все таки посмотреть свои настройки!!!

Код: Выделить всё

iif="sis0"
   inet="192.168.0.0/24"
   imask="255.255.255.0"
   iip="192.168.0.100"

и

Код: Выделить всё

${fwcmd} add allow all from ${inet}:${imask} to  ${inet}:${imask}  via ${iif}

мыли какие нибудь возникают?

[demondem10]

да возникают я поправил так

Код: Выделить всё

   iif="sis0"
   inet="192.168.0.0"
   imask="255.255.255.0"
   iip="192.168.0.100"


   setup_loopback

   ${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} via ${iif}
   
   ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 via ${oif}

Код: Выделить всё

ns# ipfw show
00100  266  22480 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400 1257 250648 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via sis0
00500    0      0 fwd 127.0.0.1,3128 tcp from 192.168.0.0 to any dst-port 80 via       rl0
00600    0      0 check-state
00700   15    768 allow ip from 192.168.0.10 to any via sis0
00800   10    753 allow ip from any to 192.168.0.10 via sis0
00900    350      1235 divert 8668 ip from 192.168.0.0/24 to any out via rl0
01000   28   7063 divert 8668 ip from any to 111.222.333.166 in via rl0
01100    0      0 allow gre from any to any
01200    0      0 allow ip from any to any via tun0
01300    0      0 allow ip from 192.168.0.8 1024-2000 to any dst-port 1024-2000
01400    0      0 allow ip from any 1024-2000 to 192.168.0.8 dst-port 1024-2000
01500    0      0 deny ip from 192.168.0.0/24 to any in via rl0
01600    0      0 deny ip from 212.154.146.164/30 to any in via sis0
01700    0      0 deny ip from any to 10.0.0.0/8 via rl0
01800    0      0 deny ip from any to 172.16.0.0/12 via rl0
01900    0      0 deny ip from any to 169.254.0.0/16 via rl0
02000    0      0 deny ip from any to 192.0.2.0/24 via rl0
02100    0      0 deny ip from any to 224.0.0.0/4 via rl0
02200    0      0 deny ip from any to 240.0.0.0/4 via rl0
02300    0      0 allow tcp from any to any established
02400    0      0 allow tcp from any to111.222.333.166 dst-port 22 via rl0 setu      p
02500    0      0 allow tcp from any to 111.222.333.166 dst-port 110 via rl0 set      up
02600    0      0 allow tcp from any to 111.222.333.166 dst-port 25 via rl0 setu      p
02700    0      0 allow tcp from any to 111.222.333.166 dst-port 53 setup
02800   27   7026 allow udp from any to 111.222.333.166.166 dst-port 53
02900   32   2337 allow udp from 111.222.333.166 53 to any
03000    0      0 allow icmp from any to any
03100    0      0 allow udp from 111.222.333.166 to any dst-port 53 keep-state
03200  529  32383 deny ip from any to any
65535    0      0 deny ip from any to any

теперь так??? но все равно ничего не выходит 80 не работает ася не работает!
по 500 правилу ни одного паке не прошло а на этом 127,0,0,1:3128 сидит сквид!

[-cat-]

Господи то одно то другое:
Что такое? Одно исправляем другое калечим?

Код: Выделить всё

00500    0      0 fwd 127.0.0.1,3128 tcp from 192.168.0.0 to any dst-port 80 via       rl0

А это после NATD

Код: Выделить всё

00700   15    768 allow ip from 192.168.0.10 to any via sis0
00800   10    753 allow ip from any to 192.168.0.10 via sis0

Сейчас напишу пример конфига с пояснениями

[demondem10]

это я поправил
Господи то одно то другое:
Что такое? Одно исправляем другое калечим?
Код:
00500 0 0 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0


А это после NATD
Код:
00700 15 768 allow ip from 192.168.0.10 to any via rl0
00800 10 753 allow ip from any to 192.168.0.10 via rl0

[demondem10]

Код: Выделить всё

ns# ipfw show
00100 1714  194076 allow ip from any to any via lo0
00200   10     796 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400 4795 1060710 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via sis0
00500    0       0 check-state
00600   34    2047 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 out via rl0
00700  445   40880 divert 8668 ip from 192.168.0.0/24 to any out via rl0
00800 1649  546790 divert 8668 ip from any to 212.154.146.166 in via rl0
00900  300   13708 allow ip from 192.168.0.10 to any via sis0
01000  380  226469 allow ip from any to 192.168.0.10 via sis0
01100    0       0 allow gre from any to any
01200    0       0 allow ip from any to any via tun0
01300    0       0 allow ip from 192.168.0.8 1024-2000 to any dst-port 1024-2000
01400    0       0 allow ip from any 1024-2000 to 192.168.0.8 dst-port 1024-2000
01500    0       0 deny ip from 192.168.0.0/24 to any in via rl0
01600    0       0 deny ip from 111.222.333.164/30 to any in via sis0
01700    0       0 deny ip from any to 10.0.0.0/8 via rl0
01800    0       0 deny ip from any to 172.16.0.0/12 via rl0
01900    0       0 deny ip from any to 169.254.0.0/16 via rl0
02000    0       0 deny ip from any to 192.0.2.0/24 via rl0
02100    0       0 deny ip from any to 224.0.0.0/4 via rl0
02200    0       0 deny ip from any to 240.0.0.0/4 via rl0
02300 4441 2220504 allow tcp from any to any established
02400    0       0 allow tcp from any to 111.222.333.166 dst-port 22 via rl0 setup
02500    0       0 allow tcp from any to 111.222.333.166 dst-port 110 via rl0 setup
02600    0       0 allow tcp from any to 111.222.333.166 dst-port 25 via rl0 setup
02700    0       0 allow tcp from any to 111.222.333.166 dst-port 53 setup
02800  101   20285 allow udp from any to 111.222.333.166 dst-port 53
02900  138   11405 allow udp from 111.222.333.166 to any
03000    2     122 allow icmp from any to any
03050  131    7200 allow tcp from any to any  <<<<-----------------------  без этого ничего не работает только с этим и тогда пакеты через сквид проходить начинают 
03100    0       0 allow udp from 111.222.333.166 to any dst-port 53 keep-state
03200  171    9947 deny ip from any to any
65535    0       0 deny ip from any to any

вот что у меня сейчас

[-cat-]

Код: Выделить всё

03050  131    7200 allow tcp from any to any  <<<<-----------------------  без этого ничего не работает только с этим и тогда пакеты через сквид проходить начинают 

Бред!!!
Надо разрешать исходящий от роутера трафик TCP
Вот обещаный пример, безопасность в стороне, просто функциональность

Код: Выделить всё

setup_loopback () {
	${fwcmd} add pass all from any to any via lo0
	${fwcmd} add deny all from any to 127.0.0.0/8
	${fwcmd} add deny ip from 127.0.0.0/8 to any

    # set these to your outside interface network and netmask and ip
   oif="rl0"
   onet="212.154.146.164"
   omask="255.255.255.252"
   oip="212.154.146.166"

   
   # set these to your inside interface network and netmask and ip

   iif="sis0"
   inet="192.168.0.0"
   imask="255.255.255.0"
   iip="192.168.0.100"

${fwcmd} -f flush

	setup_loopback
	
	#${fwcmd} add check-state поскольку правила в основном статические, динамика песня отдельная хотя кое-где проще

	# Из стандартной поставки Stop spoofing
	${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
	${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

	# Stop RFC1918 nets on the outside interface
	${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
	${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
	${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

	# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
	# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
	# on the outside interface
	${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
	${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
	${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
	${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
	${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

	#Allow anything internal interface for localnet, внутрення сеть
	${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} via ${iif}             

	#Так делается прозрачным прокси, не нужно поскольку клиенты и так никуда не пролезут, без явных на то разрешений.
	#${fwcmd} add forward ${iip},3128 tcp from ${inet}:${imask} to any 80 via ${oif}
	
	${fwcmd} add divert natd all from any to ${oip} in via ${oif}
	${fwcmd} add divert natd all from ${inet}:${imask} to any out via ${oif}

	# Тоже из стандартной поставки только правила наоборот
        #Stop RFC1918 nets on the outside interface
	${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
	${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
	${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

	# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
	# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
	# on the outside interface
	${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
	${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
	${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
	${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
	${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

	#Надо понимать клиент банк, не понятно только что за протокол, если TCP тогда все OK, 
        #а если UDP (что мало вероятно) тогда надо явно указывать указывать разрешения и для внутреннего интерфейса и для внешнего
        # предположим TCP 
	${fwcmd} add allow tcp from 192.168.0.8 1024-2000 to any 1024-2000 via ${iif}
        #Во-второй строчке нужды уже нет: маловероятно что банк сам будет уставнавливать TCP-соединение
        #${fwcmd} add allow tcp from any 1024-2000 to 192.168.0.8 1024-2000 via 	

	#Разрешаем TCP для избранных, все замечания об UDP и ICMP верны и тут
         ${fwcmd} allow tcp from 192.168.0.10 to any setup via ${iif}
 
        # Теперь внешняя сеть, здесь и все потенциальные дыры
	# Разрешаем исходящий TCP трафик для роутера, куда хочет туда пусть и лезет
	${fwcmd} add allow tcp from ${oip} to any setup out via ${oif}
	
	# Allow access to our FTP, SMTP, WWW, POP, IMAP
	${fwcmd} add allow tcp from any to ${oip} 21,49152-65535 setup in via ${oif} #правило для больше для пассивного FTP
        #активный фактически открыт уже
	${fwcmd} add allow tcp from any to ${oip} 25 setup in via ${oif}
	${fwcmd} add allow tcp from any to ${oip} 80 setup in via ${oif}
	${fwcmd} add allow tcp from any to ${oip} 110 setup in via ${oif}
	${fwcmd} add allow tcp from any to ${oip} 143 setup in via ${oif}

         #Разрешаем TCP если соединение установлено, блокируем фрагменты
	 ${fwcmd} add deny ip from any to any frag
	${fwcmd} add pass tcp from any to any established

	# Разрешаем запросы извне к нашему DNS серверу, и соответственно наши ответы
        ${fwcmd} add allow udp from any to ${oip} 53 in via ${oif}
        ${fwcmd} add allow udp from ${oip} 53 to any out via ${oif}

	# Разрешаем роутеру самому запрашивать-получать ответы DNS и NTP. (TCP на 53 уже открыт) 
	${fwcmd} add allow udp from any 53,123 to ${oip} in via ${oif} 
	${fwcmd} add allow udp from ${oip} to any 53,123 out via ${oif} 

	#Разрешаем некоторые  ICMP запросы-ответы - echo reply, dest unreach, 
	#source quech, echo, ttl exceed 
	${fwcmd} add allow icmp from any to ${oip} in via ${oif} icmptype 0,3,8,11,12
	${fwcmd} add allow icmp from ${oip} to any out via ${oif} icmptype 0,3,8,11,12
	
	# Дальше запрет и логи
	${fwcmd} add deny log logamount 1000 all from any to any

Сам роутер в таком конфиге свободно обращается в Инет по TCP, UDP, ICMP - частично.
Для внутренней сети - выход в Инет по TCP для избранных. UDP и ICMP песня отдельная, хотя есть пример клиент банк.
В остальном для все клиенты могут выйти в Инет только через демоны FreeBSD (SQUID, почта, FTP).
В такой конфигурации логи будут разрастаться сообщениями от внутренней сети чтобы этого не было можно добавить

Код: Выделить всё

${fwcmd} add deny all from any to any via ${iif}

но только после правила с еtstablished.

[demondem10]

все начило ходить , щас тестю, наткнулся вот на что почта на локальные адреса не приходит и с них не уходит, то есть батом со своего сервера я ее забрать не могу а на сервак все приходит!
н7а внешние адреса у меня бат тоже настроен и не может забрать почту!
может нуна указать бату работать через проксю???

[-cat-]

Ну так надо понимать твой компьютер в эксклюзив не входит.

[demondem10]

входит

Код: Выделить всё

   #Разрешаем TCP для избранных, все замечания об UDP и ICMP верны и тут
         ${fwcmd} allow tcp from 192.168.0.10 to any setup via ${iif}

[-cat-]

Ну тогда подробно и русски какой сервер, что за внешние адреса.

[demondem10]

Код: Выделить всё

 oip="111.222.333.166"

адресс стоит exim + clamav + curier-imap
dialin.kz
может в этом дело???

Код: Выделить всё

http://dnr.kz/dnsreport/dialin.kz

[-cat-]

Надо понимать речь идет о локальном сервере. Т .е. после того как использовал предложенный конфиг ipfw, на локальный сервер "dialin.kz" почта приходит, а забрать с него локальным юзерам не удается, так?

[demondem10]

по 1 -му да так !!!

а ссылка это я сделал dnsreport просто что бы показать что почтарь работает!

[-cat-]

Код: Выделить всё

ipfw -a list 

в студию

[-cat-]

Если списал все правильно, тогда единственная причина DNS.

[demondem10]

ipfw -a list

Код: Выделить всё

ns# ipfw -a list
00100 304  29510 allow ip from any to any via lo0
00200   0      0 deny ip from any to 127.0.0.0/8
00300   0      0 deny ip from 127.0.0.0/8 to any
00400   0      0 deny ip from 192.168.0.0/24 to any in via rl0
00500   0      0 deny ip from 212.154.146.164/30 to any in via sis0
00600   0      0 deny ip from any to 10.0.0.0/8 via rl0
00700   0      0 deny ip from any to 172.16.0.0/12 via rl0
00800   0      0 deny ip from any to 169.254.0.0/16 via rl0
00900   0      0 deny ip from any to 192.0.2.0/24 via rl0
01000   0      0 deny ip from any to 224.0.0.0/4 via rl0
01100   0      0 deny ip from any to 240.0.0.0/4 via rl0
01200 890 201964 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via sis0
01300 375 135420 divert 8668 ip from any to 111.222.333.166 in via rl0
01400   0      0 divert 8668 ip from 192.168.0.0/24 to any out via rl0
01500   0      0 deny ip from 10.0.0.0/8 to any via rl0
01600   0      0 deny ip from 172.16.0.0/12 to any via rl0
01700   0      0 deny ip from 169.254.0.0/16 to any via rl0
01800   0      0 deny ip from 192.0.2.0/24 to any via rl0
01900   0      0 deny ip from 224.0.0.0/4 to any via rl0
02000   0      0 deny ip from 240.0.0.0/4 to any via rl0
02100   0      0 allow tcp from 192.168.0.8 1024-2000 to any dst-port 1024-2000 via sis0
02200   0      0 allow tcp from any 1024-2000 to 192.168.0.8 dst-port 1024-2000 via sis0
02300  32   2048 allow tcp from 212.154.146.166 to any setup out via rl0
02400   0      0 allow tcp from any to 111.222.333.166 dst-port 21,49152-65535 setup in via rl0
02500   1     60 allow tcp from any to 111.222.333.166 dst-port 25 setup in via rl0
02600   0      0 allow tcp from any to 111.222.333.166 dst-port 80 setup in via rl0
02700   0      0 allow tcp from any to 111.222.333.166 dst-port 110 setup in via rl0
02800   0      0 allow tcp from any to 111.222.333.166 dst-port 143 setup in via rl0
02900   0      0 deny ip from any to any frag
03000 617 188640 allow tcp from any to any established
03100  44   7467 allow udp from any to 111.222.333.166 dst-port 53 in via rl0
03200  46   2832 allow udp from 111.222.333.166 53 to any out via rl0
03300   0      0 allow udp from any 53,123 to 212.154.146.166 in via rl0
03400   0      0 allow udp from 111.222.333.166 to any dst-port 53,123 out via rl0
03500   1     84 allow icmp from any to 111.222.333.166 in via rl0 icmptypes 0,3,8,11,12
03600   1     84 allow icmp from 111.222.333.166 to any out via rl0 icmptypes 0,3,8,11,12
65535 219  15809 deny ip from any to any

[-cat-]

На первый взгляд ничего подозрительного не нашел.
1. Что у клиентов написано в SMTP, POP или IMAP серверах.
2. Что говорит твой

Код: Выделить всё

host имя твоего почтового сервера

3. Почтовый сервер имеет IP в сети 192.168.0.0/24?