Страница 1 из 1
IPFW+nat+MPD5
Добавлено: 2011-07-29 9:10:51
warman
rl0 - внешний интерфейс
rl1 - интерфейс смотрит на сервер Радиуса
rl2 - внутренний интерфейс
Код: Выделить всё
#!/bin/sh -
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
. /etc/rc.subr
. /etc/network.subr
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
setup_loopback
${fwcmd} add 100 allow ip from any to any via rl2
${fwcmd} add 110 allow ip from 192.168.140.0/24 to 192.168.140.0/24 via rl1
${fwcmd} add 120 allow ip from any to any via rl0
${fwcmd} add 130 deny ip from 169.254.0.0/16 to any in recv rl0
${fwcmd} add 140 deny ip from any to 169.254.0.0/16 in recv rl0
${fwcmd} add 150 deny ip from 169.254.0.0/16 to any in recv rl1
${fwcmd} add 160 deny ip from any to 169.254.0.0/16 in recv rl1
${fwcmd} add 170 deny ip from 169.254.0.0/16 to any in recv rl2
${fwcmd} add 170 deny ip from any to 169.254.0.0/16 in recv rl2
${fwcmd} add 190 deny ip from 10.0.0.0/16 to any in recv rl0
${fwcmd} add 200 deny ip from any to 10.0.0.0/16 in recv rl0
${fwcmd} nat 10 config log if rl0
${fwcmd} add 210 nat 10 ip4 from 10.214.8.0/21 to any via rl0
клиенты MPD получают адреса из сети 10.214.8.0/21
натится должны только клиенты мпд, но почему то их траффик попадает в запрещающее правило 65535 deny all any to any
граждане гуру, подскажите ошибку в конфиге фаерволла.
Re: IPFW+nat+MPD5
Добавлено: 2011-07-29 9:40:24
vadim64
Код: Выделить всё
${fwcmd} add 210 nat 10 ip4 from any to me via rl0
не советую юзать эти сетевухи
выкиньте их, пожалуйста
и с праздником
Re: IPFW+nat+MPD5
Добавлено: 2011-07-29 9:41:27
vadim64
и вы, бля, вообще смотрите иногда ipfw show? у вас правила разные под одними номерами
Re: IPFW+nat+MPD5
Добавлено: 2011-07-29 9:45:55
snorlov
У вас везде фигурируют интерфейсы, насколько помню в mpd создаются интерфейсы ng*
Re: IPFW+nat+MPD5
Добавлено: 2011-07-29 10:54:35
vadim64
+1
пиать, я прозыркал
Re: IPFW+nat+MPD5
Добавлено: 2011-08-01 10:58:05
warman
Код: Выделить всё
#!/bin/sh -
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
. /etc/rc.subr
. /etc/network.subr
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
setup_loopback
${fwcmd} nat 10 config log ip <ext_ip>
${fwcmd} add allow ip from any to any via rl0
${fwcmd} add allow ip from any to any via rl1
${fwcmd} add allow ip from any to any via rl2
${fwcmd} add nat 10 ip from 10.214.8.0/21 to any
${fwcmd} add nat 10 ip from any to <ext_ip>
Код: Выделить всё
serv# ipfw show
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
01040 0 0 deny ip from 169.254.0.0/16 to any in recv rl0
01050 0 0 deny ip from any to 169.254.0.0/16 in recv rl0
01060 0 0 deny ip from 169.254.0.0/16 to any in recv rl1
01070 0 0 deny ip from any to 169.254.0.0/16 in recv rl1
01080 0 0 deny ip from 169.254.0.0/16 to any in recv rl2
01090 0 0 deny ip from any to 169.254.0.0/16 in recv rl2
01190 975 66859 allow ip from any to any via rl0
01290 44 5518 allow ip from any to any via rl1
01390 14539 1245743 allow ip from any to any via rl2
01490 0 0 allow ip from 10.214.8.0/21 to 10.214.8.0/21
01590 760 45221 nat 10 ip from 10.214.8.0/21 to any
01690 0 0 nat 10 ip from any to <ext_ip>
65535 0 0 deny ip from any to any
пакеты в НАТ улетают, и на этом все заканчивается(
фаер настраиваю впервые за 5 лет админства.
Re: IPFW+nat+MPD5
Добавлено: 2011-08-03 14:42:50
Anubis_Donetsk
nat 10 config log reset same_ports deny_in if rl0
allow ip from me to any
nat 10 ip from 10.214.8.0/21 to any
nat 10 ip from any to me in via rl0
както так, наваял на скорую руку, проше сильно не критиковать