перестал ночью работать ipfw незнаю где искать
Добавлено: 2012-06-23 22:00:16
Уже не один год стоит у нас в офисе роутер на фре 8,2. Этой ночью пропал инет. Оказалась проблема в ipfw, т.к. rc.conf если его отключить а натить через ipnat - то все работает. Или вместо ipfw использовать pf и им же натить, тоже все работает. Дело в том, что правила никто не менял, тем более у меня есть бэкап правил в текстовом документе... но все равно не работает.
вот они: re0 - внутренняя сеть 192.168.0.0/24
rl0 - инет, статика
/etc/ipfw
Вот rc.conf
помогите люди добрые, что с ним случилось, чего не работает (((
вот они: re0 - внутренняя сеть 192.168.0.0/24
rl0 - инет, статика
/etc/ipfw
Код: Выделить всё
# правила разрешающие трафик через локальный интерфейс lo0
# будут добавляться автоматически сами при старте фаервола
# 100 allow ip from any to any via lo0
# 200 deny ip from any to 127.0.0.0/8
# 300 deny ip from 127.0.0.0/8 to any
# разрешаем все через интерфейс локальной сети
add 1040 allow ip from any to any via re0
# боимся непонятного
add 1050 deny ip from any to 192.168.0.0/16 in recv rl0
add 1060 deny ip from 192.168.0.0/16 to any in recv rl0
add 1070 deny ip from any to 172.16.0.0/12 in recv rl0
add 1080 deny ip from 172.16.0.0/12 to any in recv rl0
add 10110 deny ip from any to 169.254.0.0/16 in recv rl0
#Открываем порты
# VPN-connect - это порт для даемона MPD, на него поступают запросы на авториза
add 10130 allow tcp from any to me 1723 setup
# GRE for MPD5 - в этот протокол инкапсулируются все пакеты
# установившегося соединения VPN
add 10140 allow gre from any to any
# VPN-LAN
add 10150 allow tcp from any to any via ng*
add 10160 allow udp from any to any via ng*
# SSH
add 10170 allow tcp from any to me 14441 in via rl0
# Incoming Pings
add 10180 allow icmp from any to me icmptypes 8 in recv rl0
# Почта, 25
add 10190 allow tcp from any to me dst-port 25 setup
#add 10200 allow tcp from any to me dst-port 110 setup
# WEB
add 10210 allow tcp from any to me dst-port 80 setup
# настройка ната.
nat 1 config log if rl0 reset same_ports deny_in redirect_port tcp 192.168.0.36:4899 123.45.67.89:4799
# заварачиваем все что проходит через внешний интерфейс в нат
add 10530 nat 1 ip from any to any via rl0
# боимся непонятного
add 65534 deny all from any to anyКод: Выделить всё
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
ifconfig_re0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_rl0="inet 123.45.67.89 netmask 255.255.255.128"
defaultrouter="123.45.67.1"
gateway_enable="YES"
hostname="server.office.lan"
sshd_enable="YES"
firewall_enable="YES"
firewall_type="/etc/ipfw"
fsck_y_enable="YES"
background_fsck="NO"
ntpdate_enable="YES"
apache22_enable="YES"
mysql_enable="YES"
postfix_enable="YES"
dovecot_enable="YES"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="re0" # на каком интерфейсе крутится DHCP
mpd_enable="YES"
nmbd_enable="YES"
smbd_enable="YES"
pureftpd_enable="YES"