Страница 2 из 2

Добавлено: 2006-09-08 11:22:07
dikens3
[quote="chinga"]Что за ^^ и где именно его добавлять?
ipfw -ad l че такое?



^^ - Смотри выше
l - L английская, только маленькая - man ipfw почитай.

ipfw -ad list

Добавлено: 2006-09-11 7:58:53
chinga
2 dikens3
Я туплю по жесткому поэтому объясни на пальцах че это за ^^

2 all

После перезагрузки вручную пихаю sh /etc/rc.firewall
ipfw show

Код: Выделить всё

00100    0      0 check-state
00200    0      0 allow ip from any to any via lo0
00300    0      0 deny ip from any to 127.0.0.0/8
00400    0      0 deny ip from 127.0.0.0/8 to any
00500    0      0 deny ip from any to 10.0.0.0/8 in via vr0
00600    0      0 deny ip from any to 172.16.0.0/12 in via vr0
00700    0      0 deny ip from any to 192.168.0.0/16 in via vr0
00800    0      0 deny ip from any to 0.0.0.0/8 in via vr0
00900    0      0 deny ip from any to 169.254.0.0/16 in via vr0
01000    0      0 deny ip from any to 240.0.0.0/4 in via vr0
01100    0      0 deny icmp from any to any frag
01200    0      0 deny log logamount 100 icmp from any to 255.255.255.255 in via vr0
01300    0      0 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
01400    0      0 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 via vr0
01500    0      0 divert 8668 ip from 192.168.1.0/24 to any out via vr0
01600    0      0 divert 8668 ip from any to 88.204.141.106 in via vr0
01700    0      0 deny ip from 10.0.0.0/8 to any out via vr0
01800    0      0 deny ip from 172.16.0.0/12 to any out via vr0
01900    0      0 deny ip from 192.168.0.0/16 to any out via vr0
02000    0      0 deny ip from 0.0.0.0/8 to any out via vr0
02100    0      0 deny ip from 169.254.0.0/16 to any out via vr0
02200    0      0 deny ip from 224.0.0.0/4 to any out via vr0
02300    0      0 deny ip from 240.0.0.0/4 to any out via vr0
02400    0      0 allow tcp from any to any established
02500    0      0 allow ip from 88.204.141.106 to any out xmit vr0
02600    0      0 allow udp from any 53 to any via vr0
02700    0      0 allow udp from any to any dst-port 53 via vr0
02800    0      0 allow udp from any to any dst-port 123 via vr0
02900    0      0 allow tcp from any to 88.204.141.106 dst-port 21 via vr0
03000    0      0 allow tcp from any to 88.204.141.106 dst-port 49152-65535 via vr0
03100    0      0 allow icmp from any to any icmptypes 0,8,11
03200    0      0 allow tcp from any to 88.204.141.106 dst-port 80 via vr0
03300    0      0 allow tcp from any to 88.204.141.106 dst-port 22 via vr0
03400    0      0 allow tcp from any to any via re0
03500    0      0 allow udp from any to any via re0
03600    0      0 allow icmp from any to any via re0
03700    0      0 deny ip from any to any
65535 2246 164356 deny ip from any to any
Конфиг Фаера

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw -q " # собственно где лежит бинарник ipfw
LanOut="vr0"            # внешний интерфейс
LanIn="re0"            # внутренний интерфейс
IpOut="88.204.141.106" # внешний IP адрес машины
IpIn="192.168.1.1"   # внутренний IP машины
NetMask="24"            # маска сети (если она разная для внешней 
NetIn="192.168.1.0"    # Внутренняя сеть
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
# строку про фрок удалил так как поставил скуид
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
ядро

Код: Выделить всё

options		IPFIREWALL
options		IPFIREWALL_VERBOSE
options		IPFIREWALL_VERBOSE_LIMIT=100
options		IPFIREWALL_FORWARD
options		IPDIVERT
rc.conf

Код: Выделить всё

firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="vr0"
natd_flags="-m -u"
squid_enable="YES"
Конфиг скуида дефолтный + изменения из статьи Лиссяры.
Пинг на локалхост и 192.168.1.1 в мир не пускает. Скуид кеширует правильно т.к. без сети показывает сайты с кеша.

В чем грабли?

Добавлено: 2006-09-11 8:13:52
Alex Keda
сделай у себя также, и найди по крайней мере 1 отличие

Код: Выделить всё

/usr/home/lissyara/>cat /etc/rc.conf | grep fire
# firewall settings
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
/usr/home/lissyara/>

Добавлено: 2006-09-11 8:52:52
dikens3
firewall_enable="YES"
Внимательнее. :-)

Добавлено: 2006-09-11 8:56:18
dikens3
chinga писал(а):2 dikens3
Я туплю по жесткому поэтому объясни на пальцах че это за ^^
^^ - Это для меня значит читай вышенаписанное. Не очевидно конечно.. :-)

firewall_enable="YES"

Как тебе лисяра и написал. Файрволл включить нужно, а потом проверить правила, загруженные в файрвол нужно командой

ipfw -ad l
или
ipfw -ad list

Добавлено: 2006-09-11 11:59:02
chinga
Тьфу ти блин. Я думал firewall_enable="YES" только если надо фаер модулем грузить :twisted: . Лады, ща глянем...

Добавлено: 2006-09-11 12:03:08
chinga
Уф, запахало :D Всем огромное спасибо :P
Кстати, для чего нужно

Код: Выделить всё

${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut} 

Добавлено: 2006-09-11 13:06:11
Alex Keda
там написано

Добавлено: 2006-09-11 13:08:18
chinga
Фигня какая та... у сарг"а в конфиге вбиваю язык Russian_koi8 а он говорит, что не может открыть этот файл.
Но переименование оного в Rus помогло :lol:

Вчера чуть со стула не упал... Интересно, сколько будет весить конфиг скуида если убрать все комментарии :?:

Добавлено: 2006-09-11 13:16:33
chinga
А... то бишь это диапазон портов в котором что-то будет работать. Так чтоль?

Добавлено: 2006-09-11 13:23:54
chinga
А нельзя как нибудь сделать чтобы я (сидя на сервере) ходил в инет через сквид, а то выпадаю из подсчета траффика?

Добавлено: 2006-09-11 15:37:07
dikens3
chinga писал(а):А нельзя как нибудь сделать чтобы я (сидя на сервере) ходил в инет через сквид, а то выпадаю из подсчета траффика?
Так, давай подумаем вместе. Помощь - это хорошо, но не всё от нас зависит, пробуй, думай.

К примеру:
1. Каждый компьютер подлюченный к инету имеет шлюз? Что он означает?
2. Почему в Internet эксплорере есть настройка прокси? Зачем она?
3. Только с помошью прокси можно пользоваться интернетом?


P.S. Цени время других, и попрубуй сам что-то сделать, а если не получится, тогда спрашивай. Про порты можно лекцию для тебя провести, но какой в этом смысл, если есть книги? Мы потратим время, ты приобретёшь опыт?

Добавлено: 2006-09-11 16:55:24
zorg
dikens3 писал(а):
chinga писал(а):А нельзя как нибудь сделать чтобы я (сидя на сервере) ходил в инет через сквид, а то выпадаю из подсчета траффика?
Так, давай подумаем вместе. Помощь - это хорошо, но не всё от нас зависит, пробуй, думай.

К примеру:
1. Каждый компьютер подлюченный к инету имеет шлюз? Что он означает?
2. Почему в Internet эксплорере есть настройка прокси? Зачем она?
3. Только с помошью прокси можно пользоваться интернетом?


P.S. Цени время других, и попрубуй сам что-то сделать, а если не получится, тогда спрашивай. Про порты можно лекцию для тебя провести, но какой в этом смысл, если есть книги? Мы потратим время, ты приобретёшь опыт?
написано супер, писатель!!, случайно не чарльз?? ;)
Поддерживаю, читать и пробовать, ещё читать и ещё пробовать, искать решения самому, не просто готовые, а переделывать под себя, чтобы понимание приходило.

Добавлено: 2006-09-11 18:13:37
Alex Keda
от вы тут исполняете :)))