The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите разобраться (+)"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите разобраться (+)"
Сообщение от Alex Искать по авторуВ закладки on 10-Мрт-03, 23:41  (MSK)
Не могу понять, что случилось с роутером: перестал пускать народ в интернет по всем портам, кроме 80-го (http). Началась такая ерунда пару недель назад, хотя до этого все работало месяца три или четыре просто идеально. В конфигах роутера ничего не менялось после установки.

C самого роутера в инет можно коннектиться куда угодно и на какие угодно порты, не пускает именно "серую" подсеть за ним... Грешил поначалу на сквид - убрал из автозагрузки, в файрволе 101-ю строку убрал -> ничего не изменилось.

Подскажите, в какую сторону копать?...

*************  /etc/rc.conf  ****************
[15:12]-[/etc]-[mars] # cat /etc/rc.conf
defaultrouter="195.239.218.1"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
keyrate="fast"
keychange="61 ^[[K"
gateway_enable="YES"
hostname="mars.domain.ru"
ifconfig_xl0="inet 192.168.128.33  netmask 255.255.255.0"
# -- sysinstall generated deltas -- # Sun Dec 15 13:53:12 2002
ifconfig_rl0="inet 195.239.218.77 netmask 255.255.255.0"
inetd_enable="NO"
kern_securelevel_enable="NO"
local_startup="/usr/local/etc/rc.d"
mousechar_start="3"
nfs_reserved_port_only="YES"
#sshd_enable="YES"
#sshd_program="/usr/local/sbin/sshd"
usbd_enable="NO"
#named_enable="YES"
#named_program="/usr/local/sbin/named"
#named_flags="-c /etc/namedb/named2.conf"
firewall_enable="YES"
firewall_script="/etc/temp_ipfw.sh"
#firewall_type="OPEN"
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="rl0"
natd_flags="-dynamic -unregistered_only"
tcp_restrict_rst="YES"
#tcp_drop_synfin="YES"
syslogd_enable="YES"
syslogd_flags="-vv -l /chroot/named/logs"
sendmail_enable="NONE"
sendmail_flags="-bd"
sendmail_outbound_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
### Network Time Services options: ###
timed_enable="NO"       # Run the time daemon (or NO)
timed_flags=""          # Flags to timed (if enabled)
ntpdate_enable="NO"     # Run ntpdate to sync time on boot (or NO)
ntpdate_program="ntpdate"       # path to ntpdate, if you want a different one
ntpdate_flags=""        # Flags to ntpdate (if enabled)
xntpd_enable="YES"      # Run ntpd Network Time Protocol (or NO)
xntpd_program="ntpd"    # path to ntpd, if you want a different one
xntpd_flags="-A -l /var/log/ntpd.log -p /var/run/ntpd.pid"      # Flags to ntpd (if enabled)
********************************************


*************  ifconfig -a  ****************
[15:11]-[/etc]-[mars] # ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 195.239.218.77 netmask 0xffffff00 broadcast 195.239.218.255
        ether 00:02:44:34:6c:c8
        media: Ethernet autoselect (10baseTX)
        status: active
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.128.33 netmask 0xffffff00 broadcast 192.168.128.255
        ether 00:60:08:46:7e:5f
        media: Ethernet autoselect (100baseTX)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
*******************************************


*************  /etc/natd.conf  ****************
[15:13]-[/etc]-[mars] # cat /etc/natd.conf
log no
verbose no
deny_incoming no
log_denied yes
log_facility security
use_sockets yes
same_ports yes
***********************************************


*************  /etc/temp_ipfw.sh  ****************
[15:14]-[/etc]-[mars] # cat /etc/temp_ipfw.sh
#!/bin/sh

fwcmd="/sbin/ipfw"
external_interface="rl0"                # Internet interface
lan_diapasone="192.168.128.0/24"


${fwcmd} add 100 divert natd all from any to any in via $external_interface
${fwcmd} add 101 fwd 127.0.0.1,3128 tcp from $lan_diapasone to any 80

${fwcmd} add 110 allow all from any to any
**********************************************


*************  ipfw show  ****************
[15:19]-[/etc]-[mars] # ipfw show
00100     0       0 divert 8668 ip from any to any in recv rl0
00101     4     352 fwd 127.0.0.1,3128 tcp from 192.168.128.0/24 to any 80
00110 78946 8125502 allow ip from any to any
65535     0       0 deny ip from any to any
*****************************************


Кусок squid.conf (фильтров и ограничений в сквиде никаких не заведено).

acl our_network src 192.168.128.0/24
http_access allow our_network

# And finally deny all other access to this proxy
http_access deny all
******************************************

Вот, в общем, и все...
Просто не понимаю из-за чего это могло произойти :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Помогите разобраться (+)"
Сообщение от Bart Simpson emailИскать по авторуВ закладки on 11-Мрт-03, 07:14  (MSK)
Барнаул?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Помогите разобраться (+)"
Сообщение от СергейКа emailИскать по авторуВ закладки on 11-Мрт-03, 11:11  (MSK)
Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о нем ), а вообще лучше сделать форвардом, ищи на форуме по ключевому слову firewall
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Помогите разобраться (+)"
Сообщение от Alex Искать по авторуВ закладки on 11-Мрт-03, 17:13  (MSK)
Bart Simpson:
Нет.

СергейКа:
>Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о
>нем ), а вообще лучше сделать форвардом, ищи на форуме по
>ключевому слову firewall

"в natd нет упоминания" - это в natd.conf ? или в man natd?
В man 8 natd есть строка примера - /sbin/ipfw add divert natd all from any to any via ed0, по ней все и делалось.

В /etc/services строка 8668 раскомментарена:

[17:12]-[/chroot]-[mars] # cat /etc/services | grep natd
natd            8668/divert # Network Address Translation

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Помогите разобраться (+)"
Сообщение от denb Искать по авторуВ закладки on 11-Мрт-03, 17:42  (MSK)
>Bart Simpson:
>Нет.
>
>СергейКа:
>>Проблемы с Divert-ом, копай в этом направлении, в natd нет упоминания о
>>нем ), а вообще лучше сделать форвардом, ищи на форуме по
>>ключевому слову firewall
>
>"в natd нет упоминания" - это в natd.conf ? или в man
>natd?
>В man 8 natd есть строка примера - /sbin/ipfw add divert natd
>all from any to any via ed0, по ней все и
>делалось.
>
>В /etc/services строка 8668 раскомментарена:
>
>[17:12]-[/chroot]-[mars] # cat /etc/services | grep natd
>natd            
>8668/divert # Network Address Translation

Обновляли ли Вы исходники системы?
Какая у Вас версия ОС?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Помогите разобраться (+)"
Сообщение от СергейКа emailИскать по авторуВ закладки on 11-Мрт-03, 18:00  (MSK)
Я же говорю - ИЩИ ПО ПОИСКУ - FIREWALL, умные люди говорят, что вместо диверта надо использовать форвард!
Ссылки? Пожалуста:

Ключевые слова: firewall, ipfw, squid, freebsd,  (найти похожие документы)
_ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _
From : Beso Tsitelashvily                  2:5020/400      18 Nov 99  12:00:14
Subj : Как повернуть все http-запросы на Squid
________________________________________________________________________________
From: "Beso Tsitelashvily" <beso@caucasus.net>

"Denis Bakhtin" <admin@ultramed-m.ru> wrote in message
news:80s2hj$ac3$1@news2.aha.ru...

> Как повернуть все http-запросы на Squid ?
> Пишу ipfw add 00210 divert 8080 any to any 80 - не работает.
> У меня FreeBSD 2.2.6, natd родной:
> natd -s -p  8668 -u -m -n de0
> ipfw add 00200 divert  8668 ip from any to any via de0

ipfw add 300 fwd 127.0.0.1,80 tcp from any to ${proxy&www server} 80 #
приходящие на мой апач пусть идут на мой апач!
ipfw add 400 fwd 127.0.0.1,3128 tcp from any to any 80 # а не на мой
апач(значит на чужой!) только через мой скуид!


--- ifmail v.2.14dev3
* Origin: Public Gamma NNTP server Moscow Russia (2:5020/400)

Ключевые слова: freebsd, ipfw, forward, squid, firewall,  (найти похожие документы)
_ RU.UNIX.BSD (2:5077/15.22) _____________________________________ RU.UNIX.BSD _
From : Alexander Kotelnikov                2:5020/400      04 Nov 99  12:01:28
Subj : [FreeBSD] Пpинудительное завоpачивание пакетов с 80 на 3128
________________________________________________________________________________
From: "Alexander Kotelnikov" <alex@mi.msu.su>

Andy Bogdanov <Andy.Bogdanov@f7.n5008.z2.fidonet.org> сообщил в новостях
следующее:941731199@f7.n5008.z2.ftn...

> даю команду
> ipfw add divert 3128 tcp from any to any 80 via xl*
> вроде как и не ругается - но и подсоединиться клиенту не удается на 80
порт...
> почему? что я неправильно делаю?
> 2.2.8 - если это что-то дает...

Хе! Два дня назад я на эти грабли наступал в relcom.fido.ru.unix.bsd (в эту
эху почему-то не проходили сообщения)
Hадо пользовать не divert, а  forward

ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80

И добавь сквиду в конфиг:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Реально для работы нужна последняя строка, но первые три тоже не лишние :)

--
Alexander Kotelnikov     <alex@mi.msu.su>

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру