Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
denmariupol
- рядовой
- Сообщения: 20
- Зарегистрирован: 2009-05-02 19:48:10
Непрочитанное сообщение
denmariupol » 2011-04-27 10:29:36
Доброго дня.
При таком конфиге нет доступа на сервер.Что я упустил?
Помогите,пожалуйста
Код: Выделить всё
#!/bin/sh
fw="/sbin/ipfw -q "
$fw -f flush
$fw add check-state
$fw -f pipe flush
$fw -f queue flush
IIF="ng0"
NatIP="хх.хх.хх.хх"
LanOut="rl0"
LanIn="rl1"
LanIp="192.168.1.2"
#NAT--------->
$fw nat 123 config ip ${NatIP} log
$fw add 10 nat 123 ip from 192.168.1.0/24 to any
$fw add 20 nat 123 ip from any to ${NatIP}
#Loopback-------->
${fw} add allow ip from any to any via lo
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
#Allow host local------>
${fw} add allow ip from ${LanIp} to any in via ${LanIn}
${fw} add allow ip from any to ${LanIp} out via ${LanIn}
#Allow host inet--------->
${fw} add allow tcp from any to ${NatIP} via ${IIF}
#----------------------->
${fw} add deny ip from any to any
Код: Выделить всё
den# ipfw show
00010 3276 522153 nat 123 ip from 192.168.1.0/24 to any
00020 1013 70026 nat 123 ip from any to хх.хх.хх.хх
00100 0 0 check-state
00200 0 0 allow ip from any to any via lo
00300 1 60 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 allow ip from 192.168.1.2 to any in via rl1
00600 996 69016 allow ip from any to 192.168.1.2 out via rl1
00700 0 0 allow tcp from any to хх.хх.хх.хх via ng0
00800 234 11409 deny ip from any to any
65535 636186 205346488 allow ip from any to any
denmariupol
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2011-04-27 12:48:26
начните с того, что НАТить надо на аплинковом интерфейсе, посмотрите в рукокниге примеры ipfw правил
ng0 это mpd? там есть встроенный nat на этот случай
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
Charlz_Klug_
- проходил мимо
Непрочитанное сообщение
Charlz_Klug_ » 2011-04-27 12:58:30
denmariupol писал(а):
${fw} add allow ip from any to any via lo
Вроде пишется
lo0. Если не ошибаюсь.
Charlz_Klug_
-
denmariupol
- рядовой
- Сообщения: 20
- Зарегистрирован: 2009-05-02 19:48:10
Непрочитанное сообщение
denmariupol » 2011-04-27 13:18:58
hizel писал(а):начните с того, что НАТить надо на аплинковом интерфейсе, посмотрите в рукокниге примеры ipfw правил
ng0 это mpd? там есть встроенный nat на этот случай
Можно подробнее,какая разница на чем натить?
С натом проблем нет,есть проблемы с доступом.
denmariupol
-
FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Непрочитанное сообщение
FreeBSP » 2011-04-27 16:18:36
в предположении, что 1,2 - это сама машина
читаем, переводим
Код: Выделить всё
00500 0 0 allow ip from 192.168.1.2 to any in via rl1
Разрешить ip трафик, входящий через rl1, от меня куда угодно
Код: Выделить всё
00600 996 69016 allow ip from any to 192.168.1.2 out via rl1
Разрешить ip трафик, исходящий через rl1, откуда угодно ко мне
это нормально?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
FreeBSP
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-04-27 16:37:31
192.168.1.2 это машина с виндой.Люди я прошу помощи с конкретной проблемой,которая меня парит и с которой хочу разобраться.Остальное работает и меня не парит.
Собстно заработало,
${fw} add allow ip from any to хх.хх.хх.хх out via ${IIF}
только я не понимаю почему?.
Гость
-
Bayerische
- капитан
- Сообщения: 1820
- Зарегистрирован: 2010-12-25 20:41:50
- Откуда: Хлебная столица
Непрочитанное сообщение
Bayerische » 2011-04-27 21:12:37
Через попу заработало.
Ещё раз: читаем пост от FreeBSP.
Если переписать по-человечески, будет работать. И при этом, станет понятно, почему.
Bayerische
-
denmariupol
- рядовой
- Сообщения: 20
- Зарегистрирован: 2009-05-02 19:48:10
Непрочитанное сообщение
denmariupol » 2011-04-28 4:57:15
Bayerische писал(а):Через попу заработало.
Ещё раз: читаем пост от FreeBSP.
Если переписать по-человечески, будет работать. И при этом, станет понятно, почему.
да причем тут пост от FreeBSP?
Это правила разрешения локалки (192.168.1.2) в инет.
denmariupol
-
FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Непрочитанное сообщение
FreeBSP » 2011-04-28 8:16:17
800 правилом ставишь allow log all
и смотришь что разрешается.
по необходимости гуглишь
ipfw resetlog
кроме того
берешь пакет, который тебе нужен, выписываешь некоторые его ip и tcp заголовки (src, dst, sport, dport, мож еще чего..), берешь бумажку и вручную прогоняешь его по всем правилам и выписываешь, подходит пакет или нет и что с ним происходит
заработало действительно через ****, смотри правило 800 - на нем режется слишком много всего лишнего
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
FreeBSP