Всем доброго времени суток!!!
У меня схожая проблема, может быть уважаемый
Labaman найдет часть решения у меня.
Есть сервер с двумя сетевыми интерфейсами. Первый смотрит в Интернет с белым IP – 217.12.х.х, а второй 192.168.0.100 в локалку LAN-1 192.168.0.0/24 . В этой сети стоит еще один сервер с FreeBSD 9.2 первый сетевой интерфейс 192.168.0.210 смотрит в LAN-1, второй 192.168.20.210 смотрит в LAN-2 192.168.20.0/24. На ней поднят NAT, IPFW и др. Клиенты из сети LAN-2 имеют доступ в Интернет.
Мне нужно, чтобы клиенты из сети LAN-2 192.168.20.0/24 попадали на сервер LAN-1 через IP 192.168.0.100
При открытом типе IPFW это получается, но мне нужно закрыть LAN-2 для клиентов из сети LAN-1
Ниже привожу список действующих правил:
Код: Выделить всё
oot@FreeBSD:/ # cat /etc/ipfw.rules
ipfw -q -f flush
LanOut="re1"
LanIn="re2"
IpOut="192.168.0.210"
IpIn="192.168.20.210"
cmd="ipfw -q add"
ks="keep-state"
skip="skipto 800"
$cmd 005 allow all from any to any via $LanIn
$cmd 006 allow all from any to any via lo0
$cmd 007 pass tcp from any to 192.168.20.52 8181 in recv $LanOut
$cmd 010 allow tcp from me to any out via $LanOut keep-state uid squid
$cmd 011 fwd 127.0.0.1,3129 tcp from 192.168.20.0/24 to any 1-65535 out via $LanOut
$cmd 012 divert natd ip from any to any in via $LanOut
$cmd 013 check-state
###################################################
#####FOR OUTBOUND TRAFFIC ON OUTSIDE INTERFACE#####
###################################################
$cmd 016 allow all from any to 192.168.0.100 out via $LanOut
$cmd 017 allow all from any to 192.168.0.100 in via $LanOut
$cmd 018 allow all from 192.168.0.100 to any out via $LanOut
$cmd 019 allow all from 192.168.0.100 to any in via $LanOut
$cmd 020 $skip tcp from any to 217.29.116.1 53 out via $LanOut setup $ks
$cmd 021 $skip tcp from any to 217.29.116.2 53 out via $LanOut setup $ks
$cmd 040 $skip tcp from any to any 80 out via $LanOut setup $ks
$cmd 050 $skip tcp from any to any 443 out via $LanOut setup $ks
$cmd 060 $skip tcp from any to any 25 out via $LanOut setup $ks
$cmd 061 $skip tcp from any to any 110 out via $LanOut setup $ks
$cmd 070 $skip tcp from me to any out via $LanOut setup $ks uid root
$cmd 080 $skip icmp from any to any out via $LanOut $ks
$cmd 090 $skip tcp from any to any 37 out via $LanOut setup $ks
$cmd 100 $skip tcp from any to any 119 out via $LanOut setup $ks
$cmd 110 $skip tcp from any to any 22 out via $LanOut setup $ks
$cmd 120 $skip tcp from any to any 43 out via $LanOut setup $ks
$cmd 130 $skip udp from any to any 123 out via $LanOut $ks
###################################################
#####FOR INCOMING TRAFFIC ON OUTSIDE INTERFACE#####
###################################################
$cmd 301 deny all from 172.16.0.0/12 to any in via $LanOut
$cmd 302 deny all from 10.0.0.0/8 to any in via $LanOut
$cmd 303 deny all from 127.0.0.0/8 to any in via $LanOut
$cmd 304 deny all from 0.0.0.0/8 to any in via $LanOut
$cmd 305 deny all from 169.254.0.0/16 to any in via $LanOut
$cmd 306 deny all from 192.0.2.0/24 to any in via $LanOut
$cmd 307 deny all from 204.152.64.0/23 to any in via $LanOut
$cmd 308 deny all from 224.0.0.0/3 to any in via $LanOut
$cmd 309 deny all from any to any 445 in via $LanOut
$cmd 315 deny tcp from any to any 113 in via $LanOut
$cmd 320 deny tcp from any to any 137 in via $LanOut
$cmd 321 deny tcp from any to any 138 in via $LanOut
$cmd 322 deny tcp from any to any 139 in via $LanOut
$cmd 323 deny tcp from any to any 81 in via $LanOut
$cmd 330 deny all from any to any frag in via $LanOut
$cmd 370 allow tcp from any to me 80 in via $LanOut setup limit src-addr 2
$cmd 380 allow tcp from any to me 22 in via $LanOut setup limit src-addr 2
$cmd 399 deny icmp from any to any in via $LanOut
$cmd 400 allow tcp from any to 192.168.20.2 dst-port 8080,21 via re1
$cmd 401 allow tcp from any to 192.168.20.2 dst-port 8080,21 via re2
$cmd 800 divert natd ip from any to any out via $LanOut
$cmd 801 allow ip from any to any
$cmd 999 deny log all from any to any
#############THE END###############root@FreeBSD:/ #
Пробовал правила, присваивая им номера 002, 003 и 014, 015:
allow all from 192.168.0.100 to any
allow all from any to 192.168.0.100
allow all from 192.168.0.100 to any via $LanOut
allow all from any to 192.168.0.100 via $LanOut
allow tcp from 192.168.0.100 20,21 to any via $LanOut
allow tcp from any to 192.168.0.100 20,21 via $LanOut
но не получается.
Уже третью неделю бьюсь... Помогите, пожалуйста, понять, что я делаю не так, и почему не работают правила?
Заранее всем благодарен и признателен за Ваши ответы и разъяснения
С уважением,
Илья
