IPFW не пускает локалку в inet

[Toxa]

Всем привет!
Есть шлюз на freebsd 7.2-release.
на внутреннем интерфейсе висят несколько подсетей.
Подскажите пожалуйста где я намудрил?!
Вроде все по логике правильно,как я думаю.
rc.firewall:

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw"
LanOut="sis0"
LanIn="re0"
IpOut="x.x.x.x"
#NetIn1="10.5.5.0"
NetIn2="192.168.196.0"
NetIn3="192.168.192.0"
NetIn4="192.168.188.0"
NetIn5="192.168.168.0"
NetIn6="192.168.160.0"
NetIn7="192.168.152.0"
NetIn8="192.168.148.0" 
NetIn9="192.168.144.0" 
NetIn10="192.168.140.0"
NetIn11="192.168.136.0"
NetIn12="192.168.132.0"
NetIn13="192.168.128.0" 
NetIn14="192.168.124.0" 
NetIn15="192.168.120.0" 
NetIn16="192.168.116.0"
NetIn17="192.168.112.0"
NetIn18="192.168.108.0" 
NetIn19="192.168.104.0"
NetIn20="192.168.100.0" 

${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from "table(0)" to ${IpOut} 22 via ${LanOut}
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} add divert 199 ip from 192.168.0.0/16 to any out xmit ${LanOut}#это для netams
${FwCMD} add divert natd ip from ${NetIn2}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn3}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn4}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn5}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn6}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn7}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn8}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn9}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn10}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn11}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn12}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn13}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn14}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn15}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn16}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn17}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn18}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn19}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn20}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add divert 199 ip from any to 192.168.0.0/16 in recv ${LanOut}#это для netams

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}

${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}

${FwCMD} add deny ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[MASiK]

В студию

Код: Выделить всё

uname -a
cat /etc/rc.conf

P.S. И советую перейти на kernel nat

[schizoid]

ipfw show
natd.conf тоже покажите

[mediamag]

к чему переходы на кернел нат??? натд справляется прекрасно под огромными нагрузками - проверил лично

[MASiK]

к чему переходы на кернел нат??? натд справляется прекрасно под огромными нагрузками - проверил лично

ИМХО удобнее, надёжднее

[agat]

ОГО !!!???

Код: Выделить всё

${FwCMD} add divert natd ip from ${NetIn12}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn13}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn14}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn15}/24 to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn16}/24 to any out via ${LanOut}

Мамочки мои родные,,,, шо це?

[paradox]

#это для netams

нетамс статистику с диверт сокетов снимает - наскоко я помню логику нетамса

[agat]

а это то каким боком выползло?

Код: Выделить всё

${FwCMD} add deny ip from "table(0)" to ${IpOut} 22 via ${LanOut}

copy-past рулит но надо знать что копипастить
так он не будет работать

натить надо не отдельный Ip а отдельную сеть, и если уж натить разные сети (вдруг надо на разные сетевухи(каналы)) то хоть определите для разных натов разные порты...

man ipfw

[paradox]

ну вот видете - хорошо что
вы захотели разобраться в чужом фаерволе и увидели кривизну)

[agat]

да уж,,,,
что там разбиратся то? человек себя сам запутал всякими там

Код: Выделить всё

NetIn14 
NetIn15 
NetIn16
NetIn17
NetIn18 
NetIn19
NetIn20

зачем их объявлять если можно с начало писать прямо, так хоть понятнее самому будет,
и самое главное начать с простого

Код: Выделить всё

ipfw add allow all from any to any

а потом уже наворачивать так как нужно двигаться, так сказать, от простого к сложному

[paradox]

что там разбиратся то?

может и не чего
но многим сдесь на форуме тяжело и не интересно переваривать чужие фаерволы когда своих хватает )

[paradox]

ipfw add allow all from any to any
а потом уже наворачивать так как нужно двигаться, так сказать, от простого к сложному

не поверите
но я всех так учу сдесь
но результата пока никакого(((((
каждый третий приходит со своим копипастом на 50 строк и просит разобраться почему у него ничего не работает

[agat]

я прям телепат,,,,

сам же так начинал сначало копипастить а потом когда сеть на 1500 юзеров легла сразу (после ночи танцев с бубном ) начал боле менее разбиратся с ipfw , потом была еще одна сеть, потом не выдержал нагрузки natd туда же отправился и ipnat, потом было слишком много динамических правил и перескочил на таблицы.

В итоге: криво написанный фаер видно сразу, а человек просто не хочет себя заставить прочитать руководство по применению. Люди вообще ленивые по своей природе, но лень движет прогрессом, от лени человек изобрел колесо-велосипед-машину

[Гость]

Огромное спасибо всем за то,что отозвались!Надеюсь в Вашей жизни все также ровно и красиво, как и в Ваших rc.firewall!
Пока конфиги и все остальное выложить не могу,но ответить хочется на критику и удивления=)
1.

Код: Выделить всё

${FwCMD} add deny ip from "table(0)" to ${IpOut} 22 via ${LanOut}

-это для sshit
2.столько дивертов для того,чтобы можно было запретить той или иной подсети доступ в нет,закомментив соответствующее правило
3.если все deny убрать,то все равно почему-то при пинге внутренних подсетей то "нет анричибал" или "invalid argument", то идет пинг. сетевухи менял-не помогло.

[paradox]

2.столько дивертов для того,чтобы можно было запретить той или иной подсети доступ в нет,закомментив соответствующее правило

а путь

один диверт для всех
и deny той сети которую нужно

вам в голову не приходил?

[schizoid]

или диверт таблицы , а уже в нее добавлять/удалять нужные вам подсети...

[Toxa]

Спасибо за советы-учту!
вот по просьбе rc.conf:

Код: Выделить всё

# -- sysinstall generated deltas -- # Fri Aug 21 19:54:21 2009
# Created: Fri Aug 21 19:54:21 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.

#defaultrouter="x.x.x.x"
hostname="lala.la"

#LanOut
ifconfig sis0 ether xx:xx:xx:xx:xx:xx
ifconfig_sis0="inet x.x.x.x netmask 255.255.255.240"

#LanIn
ifconfig_re0_alias0="inet 192.168.100.254 netmask 255.255.255.0"
ifconfig_re0_alias1="inet 192.168.104.254 netmask 255.255.255.0"
ifconfig_re0_alias2="inet 192.168.108.254 netmask 255.255.255.0"
ifconfig_re0_alias3="inet 192.168.112.254 netmask 255.255.255.0"
ifconfig_re0_alias4="inet 192.168.116.254 netmask 255.255.255.0"
ifconfig_re0_alias5="inet 192.168.120.254 netmask 255.255.255.0"
ifconfig_re0_alias6="inet 192.168.124.254 netmask 255.255.255.0"
ifconfig_re0_alias7="inet 192.168.128.254 netmask 255.255.255.0"
ifconfig_re0_alias8="inet 192.168.132.254 netmask 255.255.255.0"
ifconfig_re0_alias9="inet 192.168.136.254 netmask 255.255.255.0"
ifconfig_re0_alias10="inet 192.168.140.254 netmask 255.255.255.0"
ifconfig_re0_alias11="inet 192.168.144.254 netmask 255.255.255.0"
ifconfig_re0_alias12="inet 192.168.148.254 netmask 255.255.255.0"
ifconfig_re0_alias13="inet 192.168.152.254 netmask 255.255.255.0"
ifconfig_re0_alias14="inet 192.168.160.254 netmask 255.255.255.0"
ifconfig_re0_alias15="inet 192.168.168.254 netmask 255.255.255.0"
ifconfig_re0_alias16="inet 192.168.188.254 netmask 255.255.255.0"
ifconfig_re0_alias17="inet 192.168.192.254 netmask 255.255.255.0"
ifconfig_re0_alias18="inet 192.168.196.254 netmask 255.255.255.0"

gateway_enable="YES"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="fast"
moused_enable="YES"
sshd_enable="YES"
fsck_y_enable="YES"
sendmail_enable="NONE"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="sis0"
natd_flags="-m -u"
mysql_enable="YES"
apache22_enable="YES"
ftpd_enable="YES"
rinetd_enable="YES"
netams_enable="YES"
sshit_enable="YES"

а natd.conf нету.
Очень странно,но при подключении кабелей к сетевухам сначала на ping ответ следующий:

Код: Выделить всё

ping 192.168.100.254-------net is unreachable
ping 192.168.100.1----------invalid argument

а через минуту примерно-все ок!
ну а еще через пару-тройку минут,все опять также(net is unreachable,invalid argument).
в какую сторону смотреть,подскажите пожалуйста!

[agat]

Для чего СТОКА алиасов? если нужно разделить сеть заюзай vlan, но на другой стороне нужно что-то что держало этот самый vlan.

Что это такое МЕГА сетевое? что нужно столько сетей?
Потом вы захотите что бы одна сеть смотрела в другую и запаритесь с маршрутами.
возьмите сеть побольше 10,0,0,0/16 и делайте с ней все что хотите. режте, делите, etc

и потом как вам natd ? не тормозит со столькими сетями?

ХМ тока заметил.

Код: Выделить всё

ifconfig_re0_alias0="inet 192.168.100.254 netmask 255.255.255.0"
... etc

а где ifconfig_re0="inet ... netmask ..."

Вродеб сначало надо привязать ip и уже потом вешать на сетевуху алиасы, разве нет?

ifconfig re0 в студию...

[Toxa]

С праздником всех!!!
Даже если

Код: Выделить всё

ifconfig_re0="inet 192.168.100.254 netmask 255.255.255.0"

а остальные алиасы,то

Код: Выделить всё

ping 192.168.100.254-------net is unreachable

Ядро у меня пересобранное грузится, вот я и решил-мож косяк тама!
Загрузил GENERIC(соответственно ни ната, ни фаера нет),а ничего не меняется!
Все то же...

Код: Выделить всё

ping 192.168.100.254-------net is unreachable

Причем ping то идет,то нет-не зависит от ядра,не зависит от сетевухи.=(
Например,запустил ping,

Код: Выделить всё

ping 192.168.100.254-------net is unreachable

-примерно 5 минут,затем все ок,проходит 251 пакет и...
снова

Код: Выделить всё

ping 192.168.100.254-------net is unreachable

-проходит опять немного времени и проскакивает 381 пакет...
Что предложите попробывать?!
Или мож кто знает в чем причина?!
может дело в мат. плате?!?

[Toxa]

Проверил-дело не в железе.
Если алиасы убрать и оставить токо

Код: Выделить всё

ifconfig_re0=...

то работает нормально!
Так же если алиасы оставить,то пингуется токо последний алиас.
Правда я вроде написал,как везде говорится и так работет на друом шлюзе.
Если у кого-нибудь еще есть желание помочь-очень буду благодарен!

[agat]

Для чего столько алиасов?

что выводит ifconfig ?

Код: Выделить всё

vpn# cat /etc/defaults/rc.conf | grep ifconfig
pfsync_ifconfig=""              # Additional options to ifconfig(8) for pfsync
ifconfig_lo0="inet 127.0.0.1"   # default loopback device configuration.
#ifconfig_lo0_alias0="inet 127.0.0.254 netmask 0xffffffff" # Sample alias entry.
#ifconfig_ed0_ipx="ipx 0x00010010"      # Sample IPX address family entry.
#ifconfig_fxp0_name="net0"      # Change interface name from fxp0 to net0.
#gifconfig_gif0="10.1.1.1 10.1.2.1"     # Examples typically for a router.
#gifconfig_gif1="10.1.1.2 10.1.2.2"     # Examples typically for a router.
#ipv6_ifconfig_ed0="fec0:0:0:5::1 prefixlen 64" # Sample manual assign entry
#ipv6_ifconfig_ed0_alias0="fec0:0:0:5::2 prefixlen 64" # Sample alias entry.

что за сетевая re ? realtek фтопку