Страница 1 из 1

Остановился инет сервак

Добавлено: 2008-10-14 13:13:01
mediamag
Перестал раздаватся инет...ничегоне менял...ничего не перенастраивал...даже комп не ресал....нет пинга на адсл модем даже...заметил - когда пишу в правилах выше диверта allow ip from any to any пинг идет и инет есть на сервере..но в сеть не раздается...проверил rc.conf проверил resolv.conf проверил named.conf все осталось как и было...

firewall.sh

Код: Выделить всё

#!/bin/sh


extif="sk0"
extnet="192.168.1.0/24"
extip="192.168.1.2"


intif="sk1"
intnet="192.168.0.0/24"
intip="192.168.0.108"

fwcmd="/sbin/ipfw "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush



${fwcmd} add 50 check-state



${fwcmd} add 100 allow ip from any to any via lo0



${fwcmd} add 200 deny ip from any to 127.0.0.0/8
${fwcmd} add 250 deny ip from 127.0.0.0/8 to any



${fwcmd} add 300 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 350 deny all from ${extnet} to any in via ${intif}



${fwcmd} add 400 deny ip from any to 10.0.0.0/8 in via ${extif}
${fwcmd} add 410 deny ip from any to 172.16.0.0/12 in via ${extif}
${fwcmd} add 420 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 430 deny ip from any to 169.254.0.0/16 in via ${extif}



${fwcmd} add 500 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 510 deny ip from any to 240.0.0.0/4 in via ${extif}



${fwcmd} add 600 deny icmp from any to any frag
${fwcmd} add 610 deny icmp from any to any in icmptype 5,9,13,14,15,16,17



${fwcmd} add 700 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 710 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 720 reject tcp from any to any not established tcpflags fin



${fwcmd} add 800 deny tcp from any to any 113 in via ${extif}



${fwcmd} add 900 deny tcp from any to any 137 in via ${extif}
${fwcmd} add 910 deny tcp from any to any 138 in via ${extif}
${fwcmd} add 920 deny tcp from any to any 139 in via ${extif}



${fwcmd} add 1000 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 1010 deny log icmp from any to 255.255.255.255 out via ${extif}


${fwcmd} add 1100 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 1110 divert natd ip from any to ${extip} in via ${extif}



${fwcmd} add 1200 deny ip from 10.0.0.0/8 to any out via ${extif}
${fwcmd} add 1210 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 1220 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 1230 deny ip from 169.254.0.0/16 to any out via ${extif}



${fwcmd} add 1300 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 1310 deny ip from 240.0.0.0/4 to any out via ${extif}



${fwcmd} add 1400 allow icmp from any to any icmptype 0,8,11



${fwcmd} add 1500 allow ip from any to ${intnet} in via ${intif}
${fwcmd} add 1550 allow ip from ${intnet} to any out via ${intif}


${fwcmd} add 1600 allow tcp from any to any established



${fwcmd} add 1700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 1710 allow udp from ${extip} 53 to any out via ${extif}



${fwcmd} add 1800 allow tcp from any to ${extip} 53 in via ${extif}



${fwcmd} add 1900 allow tcp from any to ${extip} 22 in via ${extif} setup



#${fwcmd} add 1700 allow udp from any 27015-27025 to ${intnet} in via ${extif}
#${fwcmd} add 1710 allow udp from any 27015-27025 to ${intnet} out via ${intif}
#${fwcmd} add 1720 allow udp from ${intnet} to any 27015-27025 in via ${intif}
#${fwcmd} add 1730 allow udp from ${extip} to any 27015-27025 out via ${extif}



${fwcmd} add 2000 deny log tcp from any to ${extip} in via ${extif} setup

# allow setup conections from external IP to all interfaces

${fwcmd} add 2100 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2110 allow tcp from any to ${extip} in via ${intif} setup



${fwcmd} add 2200 allow tcp from any to 192.168.0.1 8181 via ${extif}
${fwcmd} add 2205 allow tcp from any to 192.168.0.1 8181 via ${intif}

${fwcmd} add 2210 allow tcp from any to 192.168.0.123 8282 via ${extif}
${fwcmd} add 2215 allow tcp from any to 192.168.0.123 8282 via ${intif}



${fwcmd} add 2300 allow tcp from ${intnet} to any 20,21,25,80,110,443,587,993,5190,5222,5223,7014 in via ${intif} setup



${fwcmd} add 2400 allow tcp from 192.168.0.1,192.168.0.20,192.168.0.123 to not ${intnet} in via ${intif} setup



${fwcmd} add 65534 deny ip from any to any 
rc.conf

Код: Выделить всё

hostname="inet.pie.com"
firewall_enable="YES"
firewall_script="/etc/firewall.sh"
natd_enable="YES"
natd_interface="sk0"
natd_flags="-m -u -f /etc/natd.conf"
gateway_enable="YES"
ifconfig_sk0="inet 192.168.1.2  netmask 255.255.255.0"
ifconfig_sk1="inet 192.168.0.108  netmask 255.255.255.0"
defaultrouter="192.168.1.1"
named_enable="YES"
linux_enable="YES"
sshd_enable="YES" 

Re: Остановился инет сервак

Добавлено: 2008-10-14 13:15:44
Alex Keda
досадно....

Re: Остановился инет сервак

Добавлено: 2008-10-14 13:53:57
manefesto
напиши свои правила фаервола, нечего передирать чужой фаер и удивляться почему не работает

Re: Остановился инет сервак

Добавлено: 2008-10-14 13:58:00
mediamag
мда..по делу нет ответов..проще всего сказать 1 слово чем предложение как исправтиь данную ситуацию

Re: Остановился инет сервак

Добавлено: 2008-10-14 13:59:06
manefesto
я могу тебе дать свой конфиг фаера.
Можешь его попробовать...

Re: Остановился инет сервак

Добавлено: 2008-10-14 14:12:54
mediamag
о если можно...я если не заменю то хоть сравню их...а вообще я подозриваю что натд не грузится...хотя по ipfw show пакеты бегают и по всем правилам сети тоже бегают...только вот не у фаервола не у сети инета нет.
мое мыло
h-a-k-e-r@inbox.ru

Re: Остановился инет сервак

Добавлено: 2008-10-14 15:11:00
schizoid
рестарт нату сделайте.
проверьте место на дисках
в логах что?

Re: Остановился инет сервак

Добавлено: 2008-10-14 15:27:26
Alex Keda
какой вопрос, такой и ответ.
учитесь спрашивать.

Re: Остановился инет сервак

Добавлено: 2008-10-14 16:01:07
mediamag
делал рестарт всему компу...как включить лог чтобы понять что смотреть?...винт на 160 гб..свободно 120

Re: Остановился инет сервак

Добавлено: 2008-10-14 16:22:59
f_andrey
mediamag писал(а):делал рестарт всему компу...как включить лог чтобы понять что смотреть?...винт на 160 гб..свободно 120
А вы их выключали?
В общем у меня такое ощущение что вам срочно надо почитать Хандбук, кучку man по теме ну и неплохо какую нибудь толстую книжку. :st: :st: :st:

Re: Остановился инет сервак

Добавлено: 2008-10-14 16:58:45
mediamag
все работало...я ничего не делал и никуда не лез - даже правила не менял с 1 дня установки!! как же вы не можете понять!!! до того как написать я проверил все конф файлы и правила фаервола и на всякий случай заменил их бекапными которые храню у себя на фтп.

Re: Остановился инет сервак

Добавлено: 2008-10-15 7:56:11
Alex Keda
так не бывает.

Re: Остановился инет сервак

Добавлено: 2008-10-15 12:34:56
schizoid
df -h
traceroute ya.ru
ping ya.ru

Re: Остановился инет сервак

Добавлено: 2008-10-15 13:44:27
Sadok123
lissyara писал(а):так не бывает.
бывает :) сдох модем/канал/пров

я, помнится, так сутки сидел и не мог понять, почему у меня VPN МСК<->СПБ не работает. отчаявшись, с мыслью "я лох", позвонил прову, где меня обрадовали, что где-то по середке GRE режет бэкбон (RBNet).

Re: Остановился инет сервак

Добавлено: 2008-10-20 22:23:46
mediamag
Чтобы не создавать новой темы...переустановил фряху..полностью скомпилил ядро с функциями как на сайте...симп томы теже, ipfw show показывает что пакеты бегают по правилам как и должны..и по диверту и по разрешениям в локалку...но пинга нет даже на шлюз!!!...неделю бьюсь!! помогите хоть кто нить)))...все конфиги приводил выше..они не изминились...

Re: Остановился инет сервак

Добавлено: 2008-10-20 22:42:10
paradox
tcpdump -vvvv на каком таминтерфесе
и
telnet маил.ру 80
и втыкаешь в отчеты тспдампа

на худой конец nmap
может тебе что то фильтруют

Re: Остановился инет сервак

Добавлено: 2008-10-21 11:11:05
mediamag
Проблему частично понял..нат не поднимается при старте...связанно это с функцией natd_flags="-f /etc/natd.conf" в rc.conf . Из за нее нат не хочет запускатся..пишет что не могу мол найти такого файла..хотя он там есть...пути все проверил..этот файл я создал сам и полложил...в нем команды на редирект портов. Странно что раньше он работал..

Re: Остановился инет сервак

Добавлено: 2008-10-21 19:55:37
mediamag
может кто нить сталкивался с подобной проблеммой и подскажет как решить ее? а может во фряхе есть другие способы редирект порта в лан сделать?

Re: Остановился инет сервак

Добавлено: 2008-10-21 21:15:06
paradox
полно
pf
ipf
rinetd
bounce