проблема с LAN или IPFW ???

[radiofannat]

не могу зайти на сервер, что за х...!!!
в инете крутится сервак на нём 2 сетевухи одна в локалку другая в инет, с в локалке всё работает и сервак и инет, в инете тоже всё хорошо -то что ipfw пропускает всё работает, проблема вот какая на другом конце города когда я подключаюсь к прову и делаю маршрутизацию на другой комп в сети то зайти на сервер не могу! как не странно пинги есть и не плохие на шлюзе тоже всё УРА, пробывал в универе тоже самое не пашит но пинг есть, поексперементиревал с ipfw выяснил когда отключаю всё и везде ура! -значит проблема в нём? привожу конфиг "ipfw.conf"

Код: Выделить всё

 #!/bin/sh
ipfw -q -f flush

FwCMD="ipfw -q add"	
LanOut="ed1"
LanIn="ed0"
IpOut="xxx.xxx.xxx.xxx"
IpIn="192.168.1.254"
NetMask="24"
NetIn="192.168.1.0"

${FwCMD} 00010 check-state
${FwCMD} 00015 allow ip from any to any via lo0
${FwCMD} 00020 deny ip from any to 127.0.0.0/8
${FwCMD} 00025 deny ip from 127.0.0.0/8 to any

${FwCMD} 00040 count ip from any to any in via ${LanOut}
${FwCMD} 00041 count ip from any to any out via ${LanOut}
${FwCMD} 00042 count ip from any to any in via ${LanIn}
${FwCMD} 00043 count ip from any to any out via ${LanIn}

${FwCMD} 00045 allow tcp from any to ${IpOut} \
1,11,15,23,79,81,111,119,540,635 via ${LanOut}
${FwCMD} 00046 allow tcp from any to ${IpOut} \
1080,1524,2000,5742,6667,8080,8085 via ${LanOut}
${FwCMD} 00047 allow udp from any to ${IpOut} \
1,7,9,69,513,635,640,641,700 via ${LanOut}

${FwCMD} 00051 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} 00052 deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} 00053 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} 00054 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} 00055 deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} 00056 deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} 00057 deny icmp from any to any frag

${FwCMD} 00058 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} 00059 deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} 00070 divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} 00071 divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} 00110 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00111 deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} 00112 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} 00113 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} 00114 deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} 00115 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} 00116 deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} 00120 allow tcp from any to any established

${FwCMD} 00121 allow ip from ${IpOut} to any out xmit ${LanOut}

${FwCMD} 00150 allow udp from any 53 to any via ${LanOut}

#${FwCMD} 00151 allow udp from any to any 53 via ${LanOut}

#${FwCMD} add allow udp from any to any 123 via ${LanOut}

${FwCMD} 00152 allow tcp from any to ${IpOut} 21 via ${LanOut}

${FwCMD} 00160 allow icmp from any to any icmptypes 0,8,11

${FwCMD} 00200 allow tcp from any to ${IpOut} 80 via ${LanOut}

#${FwCMD} 00210 allow tcp from any to ${IpOut} 25 via ${LanOut}

${FwCMD} 00220 allow tcp from any to ${IpOut} 22 via ${LanOut}

#${FwCMD} 00230 allow tcp from any to ${IpOut} 143 via ${LanOut}

#${FwCMD} 00240 allow tcp from any to ${IpOut} 110 via ${LanOut}

#${FwCMD} 00300 allow ip from any to any via ${LanIn}

${FwCMD} 00310 allow gre from any to any via ${LanIn}

${FwCMD} 00320 allow tcp from any to any via ${LanIn}

${FwCMD} 00340 allow udp from any to any via ${LanIn}

${FwCMD} 00350 allow icmp from any to any via ${LanIn}

${FwCMD} 00999 deny ip from any to any

что не правельно? строго не судите...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

Код: Выделить всё

ipfw list

[radiofannat]

вот что пишет:

Код: Выделить всё

00010 check-state
00015 allow ip from any to any via lo0
00020 deny ip from any to 127.0.0.0/8
00025 deny ip from 127.0.0.0/8 to any
00040 count ip from any to any in via ed1
00041 count ip from any to any out via ed1
00042 count ip from any to any in via ed0
00043 count ip from any to any out via ed0
00045 allow tcp from any to x.x.x.x dst-port 1,11,15,23,79,81,111,119,540,635 via ed1
00046 allow tcp from any to x.x.x.x dst-port 1080,1524,2000,5742,6667,8080,8085 via ed1
00047 allow udp from any to x.x.x.x dst-port 1,7,9,69,513,635,640,641,700 via ed1
00051 deny ip from any to 10.0.0.0/8 in via ed1
00052 deny ip from any to 172.16.0.0/12 in via ed1
00054 deny ip from any to 0.0.0.0/8 in via ed1
00055 deny ip from any to 169.254.0.0/16 in via ed1
00056 deny ip from any to 240.0.0.0/4 in via ed1
00057 deny icmp from any to any frag
00058 deny log logamount 32 icmp from any to 255.255.255.255 in via ed1
00059 deny log logamount 32 icmp from any to 255.255.255.255 out via ed1
00070 divert 8668 ip from 192.168.1.0/24 to any out via ed1
00071 divert 8668 ip from any to x.x.x.x in via ed1
00110 deny ip from 10.0.0.0/8 to any out via ed1
00111 deny ip from 172.16.0.0/12 to any out via ed1
00113 deny ip from 0.0.0.0/8 to any out via ed1
00114 deny ip from 169.254.0.0/16 to any out via ed1
00115 deny ip from 224.0.0.0/4 to any out via ed1
00116 deny ip from 240.0.0.0/4 to any out via ed1
00120 allow tcp from any to any established
00121 allow ip from x.x.x.x to any out xmit ed1
00150 allow udp from any 53 to any via ed1
00152 allow tcp from any to x.x.x.x dst-port 21 via ed1
00160 allow icmp from any to any icmptypes 0,8,11
00200 allow tcp from any to x.x.x.x dst-port 80 via ed1
00220 allow tcp from any to x.x.x.x dst-port 22 via ed1
00310 allow gre from any to any via ed0
00320 allow tcp from any to any via ed0
00340 allow udp from any to any via ed0
00350 allow icmp from any to any via ed0
00999 deny ip from any to any
65535 deny ip from any to any

[Alex Keda]

так. теперь обхясни куда ты подключаешься, каким макаром, что маршрутизируешь, и что неполучается.

[radiofannat]

схема вот такая:

___________<------шлюз___________________________________________шлюз----->______________
192.168.1.2_____x.x.x.x___________________________adsl_________192.168.1.1_____динамический ip
комп1--------------сервер----------|интернет|-------------модем--------------комп2----------------комп3

так вот, с компа1 и 2 можно зайти на сервер а с компа3 нет, хотя пинги с сервера возвращаются нормальные и инет работает тоже хорошо на компах 1, 2 и 3, с других компов по этой схеме к примеру в универе тоже самое -не пашит! что мешает не пойму!
на компах стоят ХР на сервере FREEBSD

[radiofannat]

ну так что, есть какие небудь предложения?

[Alex Keda]

c маршрутами косяки?
нарисуй на бамажке путь пакета и подумай как он ходит, через какие инттерфейсы.
мне - помогает....

[dikens3]

В ipfw есть действие LOG, пользуйся и логизируй пакеты с нужными портами.

[radiofannat]

буду капать дальше, после напишу в чём проблема или не напишу...