Вопрос по IPFW

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
goshanecr
сержант
Сообщения: 252
Зарегистрирован: 2008-03-31 15:54:49
Откуда: Пермь, Екатеринбург
Контактная информация:

Вопрос по IPFW

Непрочитанное сообщение goshanecr » 2010-03-13 15:42:16

Привет товарищи!
Решил привести в порядок правила фаервола, сделать всё по полочкам. В итоге чего-то не раздаётся натом инет в локалку.
ipfw show

Код: Выделить всё

00050   834   27304 allow ip from me to 10.0.0.1 via nfe0 out
00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in
Разрешили установить VPN с провайдером

Код: Выделить всё

00100     0       0 check-state
00200     4     240 deny icmp from any to any in icmptypes 5,8,9,13,14,15,16,17
00300 11691  588087 deny tcp from any to me not dst-port 25,80,22222 in via ng0
00305     0       0 allow tcp from any to me dst-port 25,80,22222 in via ng0
00310     1      49 deny udp from any to me not dst-port 31194 in via ng0
00315     4    1639 allow udp from any to me dst-port 31194 in via ng0
00320     0       0 deny tcp from any to me not dst-port 53,80,22222 in via rl0
00325     0       0 allow tcp from any to me dst-port 53,80,22000 in via rl0
00330     0       0 deny udp from any to me not dst-port 53,123 in via rl0
00335     0       0 allow udp from any to me dst-port 53,123 in via rl0
00340     0       0 deny tcp from any to me not dst-port 53,80,22222 in via wlan0
00345     0       0 allow tcp from any to me dst-port 53,80,22222 in via wlan0
00350     0       0 deny udp from any to me not dst-port 53,123,31194 in via wlan0
00355     0       0 allow udp from any to me dst-port 53,123,31194 in via wlan0
00360     0       0 deny tcp from any to me not dst-port 53,80,22222 in via tun0
00370     0       0 deny udp from any to me not dst-port 123 in via tun0
Дал доступ ко мне только к разрешённым ресурсам.

Код: Выделить всё

00400     0       0 deny ip from table(3) to me in via ng0
В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли.

Код: Выделить всё

00500    10     810 allow ip from me to any keep-state
Мне можно всё.

Код: Выделить всё

00600     0       0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080 via ng0 out
Нужных клиентов заворачиваем на прозрачный прокси.

Код: Выделить всё

00650     0       0 divert 8668 ip from table(2) to not me via ng0 out
Неудачная попытка раздачи интернета

Код: Выделить всё

50000   139   13004 deny log logamount 100 ip from any to any
Остальное запрещаем и для отладки пишем в лог.

Так вот в логе при попытке вылезти из локалки в инет такие сообщения:

Код: Выделить всё

ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0
Я понимаю что этот пакет не via ng0 out чтоб завернуться на natd, но не понимаю как бы подправить чтоб заработало :)
Пробовал перед дивертом ставить правило:

Код: Выделить всё

00640 allow all from table(2) to not me
но тогда на этом разрешающем правиле обработка и заканчивается...

Помогите пожалста разобраться :)
Люблю в инете шарить. И браузер мой только Opera !!!
Пользователям стараюсь ставить дистр Ubuntu. Уже 3 человека пересели.
Домашний комп FreeBSD 9.0 amd64
FreeBSD - изменим жизнь к лучшему!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по IPFW

Непрочитанное сообщение Alex Keda » 2010-05-14 23:04:52

а что вы хотите в итоге сделать?
Убей их всех! Бог потом рассортирует...