Вопрос по IPFW
Добавлено: 2011-05-13 18:17:18
Всем привет. Парни, уже совсем запутался с IPFW.
Для начала привожу весь конфиг IPFW
ВПНки цепляются, http трафик проходит в сеть спарка, но вот при трассировке с компа ВПН клиента такая картина.
и.т.д.
Помогите исправить, что я не так делаю?
С серва трассировка ходит нормально в обе стороны.
Для начала привожу весь конфиг IPFW
Код: Выделить всё
#!/bin/sh -
# Manual script for ipfw
echo "Checking ng_ipfw..."
kldstatscript=`kldstat | grep ng_ipfw`
if [ "$kldstatscript" = "" ]; then
echo "Starting ng_ipfw..."
kldload ng_ipfw > /dev/null 2>&1
fi
echo -n "Starting firewall..."
ipfw="/sbin/ipfw"
#Network Spark
wan_if="bge1"
wan_ip="10.66.1.184"
#OSPF
ospf_if="vlan4001"
ospf_ip="10.30.30.2"
#Билайн
lan_if="bge0"
lan_ip="10.175.134.145"
lan_net="10.0.0.0/8"
#VPN
vpn_if="ng*"
vpn_net="192.168.10.0/24"
${ipfw} -q flush
${ipfw} -q pipe flush
${ipfw} -q queue flush
${ipfw} -q table 1 flush
${ipfw} -q table 2 flush
${ipfw} -q table 3 flush
${ipfw} -q table 4 flush
${ipfw} -q table 5 flush
${ipfw} -q table 6 flush
${ipfw} -q table 7 flush
${ipfw} -q table 8 flush
${ipfw} deny ip from 192.168.0.0/16 in via bge*
#Петля на себя
${ipfw} add allow all from any to any via lo0
${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny all from 127.0.0.0/8 to any
#####################################################################
#В инет и локалку Спарка - VPN
${ipfw} table 1 add 192.168.10.0/24 #уЕФШ VPN
######################################################################
#VPN Админы (Beeline)
${ipfw} table 4 add 172.1.1.0/24
######################################################################
#VPN Юзеры (Beeline)
${ipfw} table 5 add 172.2.2.0/24
######################################################################
# Beeline
${ipfw} table 6 add 10.175.0.0/16 # Мой район
######################################################################
#Разрешаем с ВПН сеть Spark
${ipfw} table 7 add 86.110.0.0/16 #Servers Spark
${ipfw} table 7 add 10.0.0.0/12 #Часть сети Спарк
${ipfw} table 7 add 172.25.0.0/16
${ipfw} table 7 add 10.66.0.0/16
#######################################################################
#Доступ по всем портам на сервер Corbina
${ipfw} table 3 add 10.175.XXX.XXX #Krik
########################################################################
#${ipfw} table 8 add 10.66.XXX.XXX #Krik Spark
#########################################################################
#Отбиваемся от хлама
${ipfw} add deny all from any to 169.254.0.0/16 in via $wan_if
${ipfw} add deny all from any to 169.254.0.0/16 in via $lan_if
##########################################################################
#OSPF
${ipfw} add allow all from any to 224.0.0.0/5 in via $ospf_if
###########################################################################
#Доступ по айпи Админам
${ipfw} add allow all from "table(3)" to $lan_ip via $lan_if
${ipfw} add allow all from $lan_ip to "table(3)" via $lan_if
${ipfw} add allow all from "table(3)" to $wan_ip via $wan_if
${ipfw} add allow all from $wan_ip to "table(3)" via $wan_if
############################################################################
${ipfw} add allow ip from $wan_ip to any out xmit $wan_if # Разрешаем серверу в Spark
${ipfw} add allow ip from $lan_ip to any out xmit $lan_if #Разрешаем серверу в Beeline
#############################################################################
${ipfw} add allow udp from any 53 to any via $wan_if #Разрешаем DNS SPark
${ipfw} add allow udp from any 53 to any via $lan_if #Разрешаем DNS Beeline
#############################################################################
# NTP
${ipfw} add allow udp from any to any 123 via $wan_if
###############################################################################
#Доступ на сервер по портам - ВПН сервер
${ipfw} add allow tcp from any to $wan_ip 1723 setup via $wan_if #Spark
${ipfw} add allow tcp from any to $lan_ip 1723 setup via $lan_if #Beeline
##############################################################################
#Разрешаем пинги на сервер с Спарка
${ipfw} add allow icmp from me to any via $wan_if
${ipfw} add allow icmp from any to me via $wan_if
#Разрешаем пинги на сервер с Beeline
${ipfw} add allow icmp from me to any via $lan_if
${ipfw} add allow icmp from any to me via $lan_if
${ipfw} add allow icmp from me to any via $vpn_if
${ipfw} add allow icmp from any to me via $vpn_if
#-------------------------------------------------------------------------------
#GRE
${ipfw} add allow gre from any to any via $wan_if
${ipfw} add allow gre from any to any via $vpn_if
#-------------------------------------------------------------------------------
#Конфиг NAT
${ipfw} nat 1 config ip $wan_ip same_ports deny_in unreg_only
#NAT
${ipfw} add allow all from "table(1)" to any in via $vpn_if
${ipfw} add nat 1 all from "table(1)" to any out via $wan_if
${ipfw} add allow all from $wan_ip to any out via $wan_if
${ipfw} add nat 1 all from any to $wan_ip in via $wan_if
${ipfw} add allow all from any to "table(1)" in via $wan_if
${ipfw} add allow all from any to "table(1)" out via $vpn_if
#-------------------------------------------------------------------------------
#Блокировки
${ipfw} 65534 add deny log all from any to any
Код: Выделить всё
C:\Users\krik>tracert -d spark-media.ru
Трассировка маршрута к spark-media.ru [86.110.181.162]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 10.175.134.145
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.Помогите исправить, что я не так делаю?
С серва трассировка ходит нормально в обе стороны.