Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Непрочитанное сообщение
Spook1680 » 2010-08-16 13:12:53
Ой беда, беда.
чегото - инета нет.
и вроде должен и нет.)) грешу на над.
вот конфиг
rc.firewall
Код: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw"
#Внешний интерфейс
oif="fxp0"
onet="77"
oip="7"
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0
###Разрешить ssh с наружи и внутри
${fwcmd} add 115 allow log tcp from any to ${oip} 22 via ${oif}
###ICMP
${fwcmd} add 117 allow log icmp from any to any icmptypes 0,3,4,8,11,12
## FTP
${fwcmd} add 120 allow log tcp from any to ${oip} 21 via ${oif}
${fwcmd} add 136 allow tcp from any to me 49152-65535 in via ${oif}
#${fwcmd} add 140 allow ip from any to an 21 out via ${oif} setup keep-state
## Разрешаем 80 порт открываем его
${fwcmd} add 145 allow tcp from any to ${oip} 80 via ${oif}
#${fwcmd} add 150 allow tcp from ${inet} to any 80 via ${oif}
${fwcmd} add 160 allow tcp from any to me 80 in via ${oif}
##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd log all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd log all from any to ${oip} in via ${oif}
#Разрешаем трафик 80 исходящий www
${fwcmd} add 512 allow log tcp from any to any 80,443 out via ${oif} setup keep-state
##Разрешаем DNS снаружи
${fwcmd} add 515 allow udp from any 53 to any via ${oif}
${fwcmd} add 520 allow udp from any to any 53 via ${oif}
#Разрешаем ICMP пакеты
#${fwcmd} add 530 allow log icmp from any to any icmptypes 0,3,4,8,11,12
#Разрешаем ssh в нутри сети
${fwcmd} add 540 allow log tcp from any to ${iip} 22 via ${iif}
#FTP внутри сети
#${fwcmd} add 545 allow log tcp from any to ${iip} 20 via ${iif}
#${fwcmd} add 550 allow log udp from any to ${iip} 21 via ${iif}
##Разрешаем весть tcp трафик внутри локальной сети
${fwcmd} add 600 allow log tcp from any to any via ${iif}
${fwcmd} add 610 allow log udp from any to any via ${iif}
${fwcmd} add 620 allow log icmp from any to any via ${iif}
##Разрешаем все установленные соединения. Разрешаем всесь исходящий траф серверу
${fwcmd} add 1000 allow log tcp from any to any established
${fwcmd} add 1100 allow log ip from ${oip} to any out xmit ${oif}
##Все что не пропустилось в лог
${fwcmd} add 1500 deny log logamount 3000 all from any to any
где мож быть касяк
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
Spook1680
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Непрочитанное сообщение
Spook1680 » 2010-08-16 14:00:35
rmn писал(а):а где конфиг natd?
natd.conf
rc.conf
Код: Выделить всё
ifconfig_stge0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_fxp0="inet 7. netmask 255.255.255.248"
defaultrouter="77."
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_login="YES"
#firewall_type="OPEN"
firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"
Вот так.
У меня по умолчанию фаэрвол все запрещает. Т.е. все что не разрешено, все запрещено.
Мож из-за этого.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
Spook1680
-
mediamag
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Непрочитанное сообщение
mediamag » 2010-08-20 10:10:02
у тебя же есть последнее правило
Код: Выделить всё
${fwcmd} add 1500 deny log logamount 3000 all from any to any
посмотри в логах, попадает ли туда запрос с локальной тачки и что вообще рубится....сделай пинг с локалки в мир (узнаешь есть ли инет вообще), сделай пинг на внешний айпи шлюза с локалки (узнаешь работает ли натд). И кстати не вижу правила которое разрешит инет с локалки (хотябы 80 порт). Вижу открытый 80 порт только на внешней сетевой.
mediamag