Есть шлюз Freebsd 5.1
Со шлюза пинг идет куда угодно а вот из внутренней сети только до шлюза
Нужно чтобы и наружу
Настроен natd и все
Пишу правило и все равно не бегает allow icmp from any to any
Что делать помогите!!!

• Как открыть icmp пакеты, чтобы они проходили через шлюз,open, 18:02 , 12-Июл-04
  • Как открыть icmp пакеты, чтобы они проходили через шлюз,slavik20, 16:04 , 13-Июл-04
    • Как открыть icmp пакеты, чтобы они проходили через шлюз,open, 16:35 , 13-Июл-04
      • Как открыть icmp пакеты, чтобы они проходили через шлюз,open, 18:01 , 13-Июл-04
        • Как открыть icmp пакеты, чтобы они проходили через шлюз,slavik20, 11:01 , 14-Июл-04
          • Как открыть icmp пакеты, чтобы они проходили через шлюз,open, 11:43 , 14-Июл-04
            • Как открыть icmp пакеты, чтобы они проходили через шлюз,slavik20, 12:56 , 14-Июл-04
              • Как открыть icmp пакеты, чтобы они проходили через шлюз,open, 13:27 , 14-Июл-04
                • Как открыть icmp пакеты, чтобы они проходили через шлюз,slavik20, 14:02 , 14-Июл-04

покажи вывод
tcpdump -n -i внешн_интерфейс icmp

>Есть шлюз Freebsd 5.1
>Со шлюза пинг идет куда угодно а вот из внутренней сети только
>до шлюза
>Нужно чтобы и наружу
>Настроен natd и все
>Пишу правило и все равно не бегает allow icmp from any to
>any
>Что делать помогите!!!

>покажи вывод
>tcpdump -n -i внешн_интерфейс icmp
>
>>Есть шлюз Freebsd 5.1
>>Со шлюза пинг идет куда угодно а вот из внутренней сети только
>>до шлюза
>>Нужно чтобы и наружу
>>Настроен natd и все
>>Пишу правило и все равно не бегает allow icmp from any to
>>any
>>Что делать помогите!!!

16:04:34.270873 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
16:04:34.270990 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
16:04:37.978994 10.1.254.20 > 195.128.92.108: icmp: echo request
16:04:38.494087 10.1.254.20 > 195.128.92.108: icmp: echo request
16:04:38.517088 10.1.254.20 > 195.128.92.108: icmp: echo request
16:04:38.522461 10.1.254.20 > 195.128.92.108: icmp: echo request

ifconfig -a
ipfw list

>>покажи вывод
>>tcpdump -n -i внешн_интерфейс icmp
>>
>>>Есть шлюз Freebsd 5.1
>>>Со шлюза пинг идет куда угодно а вот из внутренней сети только
>>>до шлюза
>>>Нужно чтобы и наружу
>>>Настроен natd и все
>>>Пишу правило и все равно не бегает allow icmp from any to
>>>any
>>>Что делать помогите!!!
>
>16:04:34.270873 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
>16:04:34.270990 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
>16:04:37.978994 10.1.254.20 > 195.128.92.108: icmp: echo request
>16:04:38.494087 10.1.254.20 > 195.128.92.108: icmp: echo request
>16:04:38.517088 10.1.254.20 > 195.128.92.108: icmp: echo request
>16:04:38.522461 10.1.254.20 > 195.128.92.108: icmp: echo request

и еще sysctl -a |grep forward

>ifconfig -a
>ipfw list
>
>>>покажи вывод
>>>tcpdump -n -i внешн_интерфейс icmp
>>>
>>>>Есть шлюз Freebsd 5.1
>>>>Со шлюза пинг идет куда угодно а вот из внутренней сети только
>>>>до шлюза
>>>>Нужно чтобы и наружу
>>>>Настроен natd и все
>>>>Пишу правило и все равно не бегает allow icmp from any to
>>>>any
>>>>Что делать помогите!!!
>>
>>16:04:34.270873 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
>>16:04:34.270990 195.168.88.218 > 195.128.92.142: icmp: host 195.168.92.3 unreachable
>>16:04:37.978994 10.1.254.20 > 195.128.92.108: icmp: echo request
>>16:04:38.494087 10.1.254.20 > 195.128.92.108: icmp: echo request
>>16:04:38.517088 10.1.254.20 > 195.128.92.108: icmp: echo request
>>16:04:38.522461 10.1.254.20 > 195.128.92.108: icmp: echo request

>и еще sysctl -a |grep forward
>>ifconfig -a
>>ipfw list
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0

ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::205:5dff:fe7b:24a1%ste0 prefixlen 64 scopeid 0x1
        ether 00:05:5d:7b:24:a1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet *.*.*.* netmask 0xfffffff0 broadcast *.*.*.*
        inet6 fe80::204:61ff:fe4f:d550%vr0 prefixlen 64 scopeid 0x2
        ether 00:04:61:4f:d5:50
        media: Ethernet autoselect (10baseT/UTP <full-duplex>)
        status: active
fwe0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        ether 02:04:61:05:c4:c9
        ch 1 dma -1
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet 127.0.0.1 netmask 0xff000000

ipfw list где ?

>>и еще sysctl -a |grep forward
>>>ifconfig -a
>>>ipfw list
>net.inet.ip.forwarding: 1
>net.inet.ip.fastforwarding: 0
>net.inet6.ip6.forwarding: 0
>
>ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        inet 192.168.0.1 netmask 0xffffff00
>broadcast 192.168.0.255
>        inet6 fe80::205:5dff:fe7b:24a1%ste0 prefixlen 64
>scopeid 0x1
>        ether 00:05:5d:7b:24:a1
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active
>vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        inet *.*.*.* netmask 0xfffffff0
>broadcast *.*.*.*
>        inet6 fe80::204:61ff:fe4f:d550%vr0 prefixlen 64
>scopeid 0x2
>        ether 00:04:61:4f:d5:50
>        media: Ethernet autoselect (10baseT/UTP <full-duplex>)
>        status: active
>fwe0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
>        ether 02:04:61:05:c4:c9
>        ch 1 dma -1
>
>lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
>lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
>        inet6 ::1 prefixlen 128
>
>        inet6 fe80::1%lo0 prefixlen 64
>scopeid 0x5
>        inet 127.0.0.1 netmask 0xff000000
>

>ipfw list где ?
00100 deny tcp from any to *.*.*.* dst-port 1-19 in
00200 deny tcp from any to *.*.*.* dst-port 22-24 in
00400 deny tcp from any to *.*.*.* dst-port 26-79 in
00500 deny tcp from any to *.*.*.* dst-port 81-109 in
00600 deny tcp from any to *.*.*.* dst-port 111-1024 in
00900 deny ip from 192.168.0.0/24{122,140,141,198} to any
20000 divert 8868 tcp from 192.168.0.0/24 to any
21000 divert 8868 tcp from any to *.*.*.*
65535 allow ip from any to any

Соответственно запущен nat
natd -a *.*.*.* -p 8868

не уверен, но может в divert вместо tcp указать all ?

....вообще принято делать все запрещено по умолчанию, разрешать только нужное...

можно на время сделать
100 divert 8868 all from any to any
65535 allow ip from any to any
и если прокатит, то дело все таки в фареволе...

>>ipfw list где ?
>00100 deny tcp from any to *.*.*.* dst-port 1-19 in
>00200 deny tcp from any to *.*.*.* dst-port 22-24 in
>00400 deny tcp from any to *.*.*.* dst-port 26-79 in
>00500 deny tcp from any to *.*.*.* dst-port 81-109 in
>00600 deny tcp from any to *.*.*.* dst-port 111-1024 in
>00900 deny ip from 192.168.0.0/24{122,140,141,198} to any
>20000 divert 8868 tcp from 192.168.0.0/24 to any
>21000 divert 8868 tcp from any to *.*.*.*
>65535 allow ip from any to any
>
>Соответственно запущен nat
>natd -a *.*.*.* -p 8868

>не уверен, но может в divert вместо tcp указать all ?
>
>....вообще принято делать все запрещено по умолчанию, разрешать только нужное...
>
>можно на время сделать
>100 divert 8868 all from any to any
>65535 allow ip from any to any
>и если прокатит, то дело все таки в фареволе...
>
>
>
>>>ipfw list где ?
>>00100 deny tcp from any to *.*.*.* dst-port 1-19 in
>>00200 deny tcp from any to *.*.*.* dst-port 22-24 in
>>00400 deny tcp from any to *.*.*.* dst-port 26-79 in
>>00500 deny tcp from any to *.*.*.* dst-port 81-109 in
>>00600 deny tcp from any to *.*.*.* dst-port 111-1024 in
>>00900 deny ip from 192.168.0.0/24{122,140,141,198} to any
>>20000 divert 8868 tcp from 192.168.0.0/24 to any
>>21000 divert 8868 tcp from any to *.*.*.*
>>65535 allow ip from any to any
>>
>>Соответственно запущен nat
>>natd -a *.*.*.* -p 8868
Спасибо все заработало
FIREWALL