ipfw и бан клиен
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
ipfw и бан клиен
зятянул потуже фаэрвол.
Так на тебе,)) банк клиенты (что естественно) перестали работать.
Кто сталкивался! Я так понимаю без помощи оператора и службы потд. банка )) не разобраться (правда до них тяжко дозвонится),
Одно приложение работает с VPNnet видно оно организует транспорт между компом и банком.
Второй (на другой машине) работает с ключок (флэшка) отображате адрес 194.205.ххх.ххх
Схема сети стандартная, шлюз, нат, (прокси прозразный squid)
(конечно если собрать ipfw IPFIREWALL_DEFAULT_TO_ACCEPT) то тогда проблем не будет)) но уж больно не хото с форточками открытыми сидеть.
Так на тебе,)) банк клиенты (что естественно) перестали работать.
Кто сталкивался! Я так понимаю без помощи оператора и службы потд. банка )) не разобраться (правда до них тяжко дозвонится),
Одно приложение работает с VPNnet видно оно организует транспорт между компом и банком.
Второй (на другой машине) работает с ключок (флэшка) отображате адрес 194.205.ххх.ххх
Схема сети стандартная, шлюз, нат, (прокси прозразный squid)
(конечно если собрать ipfw IPFIREWALL_DEFAULT_TO_ACCEPT) то тогда проблем не будет)) но уж больно не хото с форточками открытыми сидеть.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и бан клиен
подождем телепатов
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: ipfw и бан клиен
tcpdump в руки и вперед смотреть от кого куда пакеты не ходят!
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
- Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Re: ipfw и бан клиен
ОК. я понял. Извините что так написано, писал из дома информации под руками небыло. Буду пробовать. tcpdump
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
- Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Re: ipfw и бан клиен
oip - внеш ipс банком общаюсь по адресу 194.186.2xx.xxx
Рекомендации от банка, типа все добро стучится в порты
87, 20, 21
oif - интерфейс
после правил ната прописываю
Код: Выделить всё
${fwcmd} add 2210 allow ip from any to ${oip} 87 via ${oif}
${fwcmd} add 2220 allow ip from any to ${oip} 20 via ${oif}
${fwcmd} add 2230 allow ip from any to ${oip} 21 via ${oif}
дал только информацию что лок. адрес
Код: Выделить всё
192.168.0.44 по порту 1313 стучится на 194.186.2xx.xxx порт 87
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и бан клиен
еще немного умственного напряжения и заветный грааль у вас в лапах
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Re: ipfw и бан клиен
вы были правы надо подумать немногоhizel писал(а):еще немного умственного напряжения и заветный грааль у вас в лапах
Код: Выделить всё
${fwcmd} add 1325 allow udp from any 87 to any via ${oif}
${fwcmd} add 1350 allow udp from any to any 87 via ${oif}
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: ipfw и бан клиен
Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
- Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Re: ipfw и бан клиен
Поучатеся такой вариант менее нагружает машин?Laa писал(а):Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.
Код: Выделить всё
${fwcmd} add 1325 allow udp from any 87 to any in recv ${oif}
${fwcmd} add 1350 allow udp from any to any 87 in recv ${oif}
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "