Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
warman
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-01-11 15:22:36
Непрочитанное сообщение
warman » 2011-07-29 9:10:51
rl0 - внешний интерфейс
rl1 - интерфейс смотрит на сервер Радиуса
rl2 - внутренний интерфейс
Код: Выделить всё
#!/bin/sh -
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
. /etc/rc.subr
. /etc/network.subr
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
setup_loopback
${fwcmd} add 100 allow ip from any to any via rl2
${fwcmd} add 110 allow ip from 192.168.140.0/24 to 192.168.140.0/24 via rl1
${fwcmd} add 120 allow ip from any to any via rl0
${fwcmd} add 130 deny ip from 169.254.0.0/16 to any in recv rl0
${fwcmd} add 140 deny ip from any to 169.254.0.0/16 in recv rl0
${fwcmd} add 150 deny ip from 169.254.0.0/16 to any in recv rl1
${fwcmd} add 160 deny ip from any to 169.254.0.0/16 in recv rl1
${fwcmd} add 170 deny ip from 169.254.0.0/16 to any in recv rl2
${fwcmd} add 170 deny ip from any to 169.254.0.0/16 in recv rl2
${fwcmd} add 190 deny ip from 10.0.0.0/16 to any in recv rl0
${fwcmd} add 200 deny ip from any to 10.0.0.0/16 in recv rl0
${fwcmd} nat 10 config log if rl0
${fwcmd} add 210 nat 10 ip4 from 10.214.8.0/21 to any via rl0
клиенты MPD получают адреса из сети 10.214.8.0/21
натится должны только клиенты мпд, но почему то их траффик попадает в запрещающее правило 65535 deny all any to any
граждане гуру, подскажите ошибку в конфиге фаерволла.
warman
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-07-29 9:40:24
Код: Выделить всё
${fwcmd} add 210 nat 10 ip4 from any to me via rl0
не советую юзать эти сетевухи
выкиньте их, пожалуйста
и с праздником
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-07-29 9:41:27
и вы, бля, вообще смотрите иногда ipfw show? у вас правила разные под одними номерами
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
snorlov
- подполковник
- Сообщения: 3923
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-07-29 9:45:55
У вас везде фигурируют интерфейсы, насколько помню в mpd создаются интерфейсы ng*
snorlov
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-07-29 10:54:35
+1
пиать, я прозыркал
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
warman
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-01-11 15:22:36
Непрочитанное сообщение
warman » 2011-08-01 10:58:05
Код: Выделить всё
#!/bin/sh -
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
. /etc/rc.subr
. /etc/network.subr
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
setup_loopback
${fwcmd} nat 10 config log ip <ext_ip>
${fwcmd} add allow ip from any to any via rl0
${fwcmd} add allow ip from any to any via rl1
${fwcmd} add allow ip from any to any via rl2
${fwcmd} add nat 10 ip from 10.214.8.0/21 to any
${fwcmd} add nat 10 ip from any to <ext_ip>
Код: Выделить всё
serv# ipfw show
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
01040 0 0 deny ip from 169.254.0.0/16 to any in recv rl0
01050 0 0 deny ip from any to 169.254.0.0/16 in recv rl0
01060 0 0 deny ip from 169.254.0.0/16 to any in recv rl1
01070 0 0 deny ip from any to 169.254.0.0/16 in recv rl1
01080 0 0 deny ip from 169.254.0.0/16 to any in recv rl2
01090 0 0 deny ip from any to 169.254.0.0/16 in recv rl2
01190 975 66859 allow ip from any to any via rl0
01290 44 5518 allow ip from any to any via rl1
01390 14539 1245743 allow ip from any to any via rl2
01490 0 0 allow ip from 10.214.8.0/21 to 10.214.8.0/21
01590 760 45221 nat 10 ip from 10.214.8.0/21 to any
01690 0 0 nat 10 ip from any to <ext_ip>
65535 0 0 deny ip from any to any
пакеты в НАТ улетают, и на этом все заканчивается(
фаер настраиваю впервые за 5 лет админства.
warman
-
Anubis_Donetsk
- рядовой
- Сообщения: 34
- Зарегистрирован: 2010-10-01 16:13:19
Непрочитанное сообщение
Anubis_Donetsk » 2011-08-03 14:42:50
nat 10 config log reset same_ports deny_in if rl0
allow ip from me to any
nat 10 ip from 10.214.8.0/21 to any
nat 10 ip from any to me in via rl0
както так, наваял на скорую руку, проше сильно не критиковать
Anubis_Donetsk
