forum.lissyara.su

Добавлено: **2010-09-28 19:42:03**

зятянул потуже фаэрвол.
Так на тебе,)) банк клиенты (что естественно) перестали работать.
Кто сталкивался! Я так понимаю без помощи оператора и службы потд. банка )) не разобраться (правда до них тяжко дозвонится),
Одно приложение работает с VPNnet видно оно организует транспорт между компом и банком.
Второй (на другой машине) работает с ключок (флэшка) отображате адрес 194.205.ххх.ххх

Схема сети стандартная, шлюз, нат, (прокси прозразный squid)
(конечно если собрать ipfw IPFIREWALL_DEFAULT_TO_ACCEPT) то тогда проблем не будет)) но уж больно не хото с форточками открытыми сидеть.

Добавлено: **2010-09-28 20:34:24**

подождем телепатов

Добавлено: **2010-09-28 20:59:19**

tcpdump в руки и вперед смотреть от кого куда пакеты не ходят!

Добавлено: **2010-09-28 21:55:29**

ОК. я понял. Извините что так написано, писал из дома информации под руками небыло. Буду пробовать. tcpdump

Добавлено: **2010-09-29 15:47:10**

с банком общаюсь по адресу 194.186.2xx.xxx
Рекомендации от банка, типа все добро стучится в порты
87, 20, 21

oip - внеш ip
oif - интерфейс
после правил ната прописываю

Код: Выделить всё

${fwcmd} add 2210 allow ip from any to ${oip} 87 via ${oif}
${fwcmd} add 2220 allow ip from any to ${oip} 20 via ${oif}
${fwcmd} add 2230 allow ip from any to ${oip} 21 via ${oif}

tcpdump -i №интерф. (локальный)
дал только информацию что лок. адрес

Код: Выделить всё

192.168.0.44 по порту 1313 стучится на 194.186.2xx.xxx порт 87

и все.

Добавлено: **2010-09-29 16:53:19**

еще немного умственного напряжения и заветный грааль у вас в лапах

Добавлено: **2010-09-29 17:00:10**

hizel писал(а):еще немного умственного напряжения и заветный грааль у вас в лапах

вы были правы надо подумать немного

Код: Выделить всё


${fwcmd} add 1325 allow udp from any 87 to any via ${oif}
${fwcmd} add 1350 allow udp from any to any 87 via ${oif}

Добавлено: **2010-09-29 21:18:43**

Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.

Добавлено: **2010-10-08 16:45:27**

Laa писал(а):Для вашего случая ерундна, но на будущее лучше привыкать юзать не via ${oif}, а in recv ${oif}, дабы пакет проверялся этим правилом точно один раз, а не два. На больших нагрузках и громоздких файерволах это становится заметно.

Поучатеся такой вариант менее нагружает машин?

Код: Выделить всё

${fwcmd} add 1325 allow udp from any 87 to any in recv ${oif}
${fwcmd} add 1350 allow udp from any to any 87 in recv ${oif}

forum.lissyara.su

ipfw и бан клиен

ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен

Re: ipfw и бан клиен