Просьба на маны и прочие руководства не отсылать, т.к. перечитано всего туева хуча. Каким образом файрвол пускает на определенные порты, если изначально файрвол в состоянии "закрыто все" и стоит NAT?
Поясню. Взять например сервер ICQ. Серверный порт у него 5190, клиентский - любой. Клиент, сидя в локалке, для настройки аськи не указывает ничего специфического, т.е. его натом кидает на порт сервера ICQ.

А проблема у меня в следующем. Есть некая софтина, в настройках которой указывается адрес сервера и порт. Сервер для етой софтины висит на порту 65501. Пробую настраивать - неработает. Что нужно прописать на файрволе, чтобы эта собака заработала?

• Ну не пойму я этот NAT....,hatta, 18:34 , 07-Окт-04
  • Ну не пойму я этот NAT....,reticon, 18:45 , 07-Окт-04
    • Ну не пойму я этот NAT....,mezantrop, 19:21 , 07-Окт-04
      • Ну не пойму я этот NAT....,reticon, 19:40 , 07-Окт-04
        • Ну не пойму я этот NAT....,hatta, 20:08 , 07-Окт-04
          • Ну не пойму я этот NAT....,reticon, 20:22 , 07-Окт-04
            • Ну не пойму я этот NAT....,hatta, 20:35 , 07-Окт-04
              • Ну не пойму я этот NAT....,reticon, 21:12 , 07-Окт-04
          • Ну не пойму я этот NAT....,Loky, 09:57 , 08-Окт-04
            • Ну не пойму я этот NAT....,A Clockwork Orange, 10:10 , 08-Окт-04
              • Ну не пойму я этот NAT....,Loky, 11:12 , 08-Окт-04
                • Ну не пойму я этот NAT....,A Clockwork Orange, 11:29 , 08-Окт-04
                  • Ну не пойму я этот NAT....,Loky, 11:38 , 08-Окт-04
                    • Ну не пойму я этот NAT....,reticon, 12:52 , 11-Окт-04
                      • Ну не пойму я этот NAT....,A Clockwork Orange, 12:54 , 11-Окт-04
                        • Ну не пойму я этот NAT....,A Clockwork Orange, 12:57 , 11-Окт-04
                          • Ну не пойму я этот NAT....,reticon, 13:26 , 11-Окт-04
                        • Ну не пойму я этот NAT....,reticon, 12:58 , 11-Окт-04

А это у вас какая система? Судя по терминологии - FreeBSD, не так ли? Потом, еще вопрос, у вас там не работает сервер или клиент?
В общем, попробуйте напр. поставить keep-state.

>А это у вас какая система? Судя по терминологии - FreeBSD, не
>так ли? Потом, еще вопрос, у вас там не работает сервер
>или клиент?
>В общем, попробуйте напр. поставить keep-state.

FreeBSD.
Сервер или клиент чего или кого?
keep-state для какого правила ставить?

>>А это у вас какая система? Судя по терминологии - FreeBSD, не
>>так ли? Потом, еще вопрос, у вас там не работает сервер
>>или клиент?
>>В общем, попробуйте напр. поставить keep-state.
>
>FreeBSD.
>Сервер или клиент чего или кого?
>keep-state для какого правила ставить?
Уважаемый reticon, немогли бы Вы сформулировать вопрос точнее, потому что это Вам виднее клиент у Вас не работает или сервер.

>>>А это у вас какая система? Судя по терминологии - FreeBSD, не
>>>так ли? Потом, еще вопрос, у вас там не работает сервер
>>>или клиент?
>>>В общем, попробуйте напр. поставить keep-state.
>>
>>FreeBSD.
>>Сервер или клиент чего или кого?
>>keep-state для какого правила ставить?
>Уважаемый reticon, немогли бы Вы сформулировать вопрос точнее, потому что это Вам
>виднее клиент у Вас не работает или сервер.

Не могу из локальной сети подключится на сервер (в интернете) на его порт 65501. Сервер работает. Из другого города на него подключаются. Сдесь же этот NAT меня задолюал. Заранее сорри за вопрос который у многих уже в печенках сидит...

если не вру с синтаксисом ipfw, то что-то в этом роде:
ipfw add allow tcp from me to SERVER 65501 keep-state
и надо разрешить соединения с сохраненным state
ipfw add check-state - это где-нибудь в начале
и еще, у вас NAT настроен через natd или ipfw?

>если не вру с синтаксисом ipfw, то что-то в этом роде:
>ipfw add allow tcp from me to SERVER 65501 keep-state

хорошо, это попробую...

>и надо разрешить соединения с сохраненным state
>ipfw add check-state - это где-нибудь в начале

это обязательно?

>и еще, у вас NAT настроен через natd или ipfw?

natd

>>ipfw add check-state - это где-нибудь в начале
>
>это обязательно?
да, это правило должно быть одним из первых, оно активирует динамически созданное keep-state'ом правило. Подробнее man ipfw.
>
>>и еще, у вас NAT настроен через natd или ipfw?
>
>natd

Просто я думал, что если у вас ipfw divert, то можно поиграться его расположением тоже.

>Просто я думал, что если у вас ipfw divert, то можно поиграться
>его расположением тоже.

ну правила диверта в rc.firewall у меня тоже есть, это естественно, без этого не будет работать :)

>если не вру с синтаксисом ipfw, то что-то в этом роде:
>ipfw add allow tcp from me to SERVER 65501 keep-state
>и надо разрешить соединения с сохраненным state
>ipfw add check-state - это где-нибудь в начале
>и еще, у вас NAT настроен через natd или ipfw?

я бы сделал по другому (не люблю когда комп сам решает как ему поступить)

#разрешаем любые исходящие пакеты с нашей машины на порт 65501 сервера выходящие через вненший интерфейс
ipfw add allow tcp from me to <server address> 65501 out xmit <external interface>
#разрешаем пакеты установленного соединения с порта 65501 удаленного сервера входящие на внешний интерфейс
ipfw add allow tcp from <server address> 65501 to me in recv <external interface> established

Вобщем дело вкуса. Хошь - жестко правила прописывай, хошь - юзай keep-state, хот я бы не рекомендовал (имхо для ленивых это :).
И еще. Настоятельно рекомендую все таки изучить стек протокола IP. Много, очень много встанет на свои места :)

для начала
ipfw l
далее клиент соединяется с сервером,
- сервер ждет соединения с любого порта клиента?
- сервер не инициирует какие либо соедиенния на клиента на определенный порт, как это происходит в активном режиме ftp?

Если изначально стоит запретить все и стоит фаерволл, никаких соеднений не будет. Не придумывай.

>для начала
>ipfw l
>далее клиент соединяется с сервером,
>- сервер ждет соединения с любого порта клиента?
>- сервер не инициирует какие либо соедиенния на клиента на определенный порт,
>как это происходит в активном режиме ftp?
>
>Если изначально стоит запретить все и стоит фаерволл, никаких соеднений не будет.
>Не придумывай.

Я уважаю Ваше мнение, вопросы справедливы, но я и ничего не придумываю.
Это всего лишь фрагмент варианта решения на предмет поставленной проблемы. В общем случае будет работать. Писать полный вариант настойки ipfw у меня нет ни времени ни желания.
С какого порта ждет соединение сервер - нам глубоко фиолетово, но если есть конкретное значение, то это всего лишь ужесточит текущие правила.
Про установку встречного соединения в постановке проблемы ничего сказано не было, так что придумываете Вы.
Если по-умолчанию стоить запретить все, то автоматически добавляется правило ipfw add deny all под номером 65535. Все что добавляется админом уже имеет заведомо меньший номер и проверяется раньше.

С уажением. Всего хорошего.

Loky.
Это все не к тебе.

>Loky.
>Это все не к тебе.

Извини пжста! :)
Без цитирования непонятно :)
С меня пиво за моральный ущерб! :)))))))))))
Heineken пьешь?

это все понятно....
я про другое. почему в одних случаях не надо ничего настраивать (например, для ICQ) а в других надо?

А в каких случаях надо?

Подумай об отпуске...
Клиентская программа так устроена. В ней загнано, что надо установить соединение с таким то сервером по такому то порту. Поэтому пользователю не надо не о чем думать.

>Подумай об отпуске...
>Клиентская программа так устроена. В ней загнано, что надо установить соединение с
>таким то сервером по такому то порту. Поэтому пользователю не надо
>не о чем думать.

да. ладно... вопрос снят...

кстати, скоро отпуск :)

>А в каких случаях надо?

например, в том, который я в начале описал, с портом 65501