forum.lissyara.su

Добавлено: **2010-08-16 13:12:53**

Ой беда, беда.
чегото - инета нет.
и вроде должен и нет.)) грешу на над.

вот конфиг
rc.firewall

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="77"
oip="7"
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

###Разрешить ssh с наружи и внутри
${fwcmd} add 115 allow log tcp from any to ${oip} 22 via ${oif}
###ICMP
${fwcmd} add 117 allow log icmp from any to any icmptypes 0,3,4,8,11,12

## FTP
${fwcmd} add 120 allow log tcp from any to ${oip} 21 via ${oif}
${fwcmd} add 136 allow tcp from any to me 49152-65535 in via ${oif}

#${fwcmd} add 140 allow ip from any to an 21 out via ${oif} setup keep-state
## Разрешаем 80 порт открываем его
${fwcmd} add 145 allow tcp from any to ${oip} 80 via ${oif}
#${fwcmd} add 150 allow tcp from ${inet} to any 80 via ${oif}
${fwcmd} add 160 allow tcp from any to me 80 in via ${oif}

##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd log all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd log all from any to ${oip} in via ${oif}
#Разрешаем трафик 80 исходящий www
${fwcmd} add 512 allow log tcp from any to any 80,443 out via ${oif} setup keep-state

##Разрешаем DNS снаружи
${fwcmd} add 515 allow udp from any 53 to any via ${oif}
${fwcmd} add 520 allow udp from any to any 53 via ${oif}
#Разрешаем ICMP пакеты
#${fwcmd} add 530 allow log icmp from any to any icmptypes 0,3,4,8,11,12
#Разрешаем ssh в нутри сети
${fwcmd} add 540 allow log tcp from any to ${iip} 22 via ${iif}
#FTP внутри сети
#${fwcmd} add 545 allow log tcp from any to ${iip} 20 via ${iif}
#${fwcmd} add 550 allow log udp from any to ${iip} 21 via ${iif}
##Разрешаем весть tcp трафик внутри локальной сети
${fwcmd} add 600 allow log tcp from any to any via ${iif}
${fwcmd} add 610 allow log udp from any to any via ${iif}
${fwcmd} add 620 allow log icmp from any to any via ${iif}

##Разрешаем все установленные соединения. Разрешаем всесь исходящий траф серверу
${fwcmd} add 1000 allow log tcp from any to any established
${fwcmd} add 1100 allow log ip from ${oip} to any out xmit ${oif}
##Все что не пропустилось в лог
${fwcmd} add 1500 deny log logamount 3000 all from any to any

где мож быть касяк

Добавлено: **2010-08-16 13:39:38**

а где конфиг natd?

Добавлено: **2010-08-16 14:00:35**

rmn писал(а):а где конфиг natd?

natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes

rc.conf

Код: Выделить всё

ifconfig_stge0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_fxp0="inet 7. netmask 255.255.255.248"
defaultrouter="77."
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_login="YES"
#firewall_type="OPEN"
firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"

Вот так.
У меня по умолчанию фаэрвол все запрещает. Т.е. все что не разрешено, все запрещено.
Мож из-за этого.

Добавлено: **2010-08-20 10:10:02**

у тебя же есть последнее правило

Код: Выделить всё

${fwcmd} add 1500 deny log logamount 3000 all from any to any

посмотри в логах, попадает ли туда запрос с локальной тачки и что вообще рубится....сделай пинг с локалки в мир (узнаешь есть ли инет вообще), сделай пинг на внешний айпи шлюза с локалки (узнаешь работает ли натд). И кстати не вижу правила которое разрешит инет с локалки (хотябы 80 порт). Вижу открытый 80 порт только на внешней сетевой.

forum.lissyara.su

natd не фурычит.

natd не фурычит.

Re: natd не фурычит.

Re: natd не фурычит.

Re: natd не фурычит.