forum.opennet.ru

Составление сообщения

Исходное сообщение

"Нужен срочный хелп по правилам ipfw"
Отправлено Maxz, 14-Дек-04 12:29

Граждане, помогите, пожалуйста.
Стоит FreBSD 5.1 + Squid stable7
Имею вот такой конфиг для ipfw:
#!/bin/sh
# envars
fwcmd="/sbin/ipfw -q"

#xl0 - external
#dc0 - internal
#212.xx.xxx.64/255.255.255.224 - my subnet
#212.xx.xxx.167 - my external address
#212.xx.xxx.65 - internal router address
# init
${fwcmd} -f flush
${fwcmd} add 200 pass icmp from any to any #allow all icmp
${fwcmd} add 300 pass tcp from any to any established
${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports
${fwcmd} add 300 pass tcp from any to any 53 #DNS
${fwcmd} add 300 pass tcp from any to any 113 in via xl0
${fwcmd} add 300 pass tcp from any to any 25 in #smtp
${fwcmd} add 300 pass udp from any to any 49152-65535
${fwcmd} add 300 pass udp from any to any 53
${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator
${fwcmd} add 600 deny tcp from any to any 135 via xl0
${fwcmd} add 600 deny tcp from any to any 137 via xl0
${fwcmd} add 600 deny tcp from any to any 139 via xl0
${fwcmd} add 600 deny tcp from any to any 140 via xl0
${fwcmd} add 600 deny tcp from any to any 141 via xl0
${fwcmd} add 600 deny tcp from any to any 69 via xl0
${fwcmd} add 600 deny tcp from any to any 4444 via xl0
#router
${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0
${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0
${fwcmd} add 700 pass tcp from any to any 22
${fwcmd} add 700 pass tcp from any to any 23
${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0
${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0
#my subnet rules
${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any
${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224
###########################################################
# Global reject rules
###########################################################
#${fwcmd} add 63000 pass all from any to any
${fwcmd} add 65000 deny all from any to any
почему не пускает в инет?
Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб доступ к ним был без прокси, а в остальные места - только через проксик (поэтому в правилах роутеру разрешено все).
Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я в *никсах полный ламер, без помощи "взрослых" все настраивал :) А сроки поджимают - сегодня к вечеру надо все настроить.

Исходное сообщение
"Нужен срочный хелп по правилам ipfw" Отправлено Maxz, 14-Дек-04 12:29
Граждане, помогите, пожалуйста. Стоит FreBSD 5.1 + Squid stable7 Имею вот такой конфиг для ipfw: #!/bin/sh # envars fwcmd="/sbin/ipfw -q" #xl0 - external #dc0 - internal #212.xx.xxx.64/255.255.255.224 - my subnet #212.xx.xxx.167 - my external address #212.xx.xxx.65 - internal router address # init ${fwcmd} -f flush ${fwcmd} add 200 pass icmp from any to any #allow all icmp ${fwcmd} add 300 pass tcp from any to any established ${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports ${fwcmd} add 300 pass tcp from any to any 53 #DNS ${fwcmd} add 300 pass tcp from any to any 113 in via xl0 ${fwcmd} add 300 pass tcp from any to any 25 in #smtp ${fwcmd} add 300 pass udp from any to any 49152-65535 ${fwcmd} add 300 pass udp from any to any 53 ${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator ${fwcmd} add 600 deny tcp from any to any 135 via xl0 ${fwcmd} add 600 deny tcp from any to any 137 via xl0 ${fwcmd} add 600 deny tcp from any to any 139 via xl0 ${fwcmd} add 600 deny tcp from any to any 140 via xl0 ${fwcmd} add 600 deny tcp from any to any 141 via xl0 ${fwcmd} add 600 deny tcp from any to any 69 via xl0 ${fwcmd} add 600 deny tcp from any to any 4444 via xl0 #router ${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0 ${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0 ${fwcmd} add 700 pass tcp from any to any 22 ${fwcmd} add 700 pass tcp from any to any 23 ${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0 ${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0 #my subnet rules ${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any ${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224 ########################################################### # Global reject rules ########################################################### #${fwcmd} add 63000 pass all from any to any ${fwcmd} add 65000 deny all from any to any почему не пускает в инет? Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб доступ к ним был без прокси, а в остальные места - только через проксик (поэтому в правилах роутеру разрешено все). Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я в *никсах полный ламер, без помощи "взрослых" все настраивал :) А сроки поджимают - сегодня к вечеру надо все настроить.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Граждане, помогите, пожалуйста.
> Стоит FreBSD 5.1 + Squid stable7

> Имею вот такой конфиг для ipfw:

> #!/bin/sh 
> # envars 
> fwcmd="/sbin/ipfw -q"

> #xl0 - external 
> #dc0 - internal 
> #212.xx.xxx.64/255.255.255.224 - my subnet 
> #212.xx.xxx.167 - my external address 
> #212.xx.xxx.65 - internal router address

> # init 
> ${fwcmd} -f flush

> ${fwcmd} add 200 pass icmp from any to any #allow all icmp

> ${fwcmd} add 300 pass tcp from any to any established 
> ${fwcmd} add 300 pass tcp from any to any 49152-65535 #safe ports 
 
> ${fwcmd} add 300 pass tcp from any to any 53 #DNS 
> ${fwcmd} add 300 pass tcp from any to any 113 in via 
> xl0 
> ${fwcmd} add 300 pass tcp from any to any 25 in #smtp 
 
> ${fwcmd} add 300 pass udp from any to any 49152-65535 
> ${fwcmd} add 300 pass udp from any to any 53

> ${fwcmd} add 500 pass all from any to any 4899 #Remote Administrator

> ${fwcmd} add 600 deny tcp from any to any 135 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 137 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 139 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 140 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 141 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 69 via xl0 
 
> ${fwcmd} add 600 deny tcp from any to any 4444 via xl0

> #router 
> ${fwcmd} add 700 pass all from any to 212.xx.xxx.65 via dc0 
> ${fwcmd} add 700 pass all from 212.xx.xxx.65 to any via dc0 
> ${fwcmd} add 700 pass tcp from any to any 22 
> ${fwcmd} add 700 pass tcp from any to any 23

> ${fwcmd} add 800 pass all from 212.xx.xxx.167 to any via xl0 
> ${fwcmd} add 800 pass all from any to 212.xx.xxx.167 via xl0

> #my subnet rules 
> ${fwcmd} add 900 pass all from 212.xx.xxx.64/255.255.255.224 to any 
> ${fwcmd} add 900 pass all from any to 212.xx.xxx.64/255.255.255.224

> ########################################################### 
> # Global reject rules 
> ########################################################### 
> #${fwcmd} add 63000 pass all from any to any 
> ${fwcmd} add 65000 deny all from any to any

> почему не пускает в инет?

> Изначально мне нужно в правилах 900 указать только нужные внешние адреса/подсетки, чтоб 
> доступ к ним был без прокси, а в остальные места - 
> только через проксик (поэтому в правилах роутеру разрешено все).

> Может я чего-то забыл указать в правилах? И вообще, покритикуйте конфиг, я 
> в *никсах полный ламер, без помощи "взрослых" все настраивал :) А 
> сроки поджимают - сегодня к вечеру надо все настроить.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру