URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64118
[ Назад ]

Исходное сообщение
"ssh не работает снаружи"
Отправлено tarantul , 13-Фев-06 18:29

Шлюз на FreeBSD 4.11
Проблема: настраивал фаервол и донастраивал до такой степени что по ssh можно подключиться только из локальной сети, подключиться из интернета не получается, друг просканировал порты - говорит что 22 порт закрыт
/etc/rc.firewall
#!/bin/sh
fwcmd="/sbin/ipfw -q"
#Внешний интерфейс
LanOut="an0"
IPOut="66.66.66.66"
NetOut="30"
MaskOut="255.255.255.252"
#Внутренний интерфейс
LanIn="rl0"
IPIn="192.168.1.1"
NetInIP="192.168.1.0"
NetInMask="24"
MaskIn="255.255.255.0"
${fwcmd} -f flush
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/0 to any in via ${LanOut}
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add allow icmp from any to any
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetInIP}/${NetInMask} to any http,https,ftp via ${LanIn}
${fwcmd} add divert natd ip from ${NetInIP}/${NetInMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IPOut} in via ${LanOut}
${fwcmd} add deny tcp from any to any 20,21,23,3306,3128
${fwcmd} add deny tcp from any 20,21,23,3306,3128 to any
${fwcmd} add pass tcp from any to any 22,25,110 via ${LanOut}
${fwcmd} add pass tcp from any 22,25,110 to any via ${LanOut}
${fwcmd} add pass udp from any to any 53 via ${LanOut}
${fwcmd} add pass udp from any 53 to any via ${LanOut}
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}
${fwcmd} add pass ip from ${IPOut} to any in recv ${LanOut}
${fwcmd} add pass all from ${NetInIP}/${NetInMask} to any
${fwcmd} add pass all from any to ${NetInIP}/${NetInMask}
${fwcmd} add pass all from any to any via ${LanIn}
${fwcmd} add pass tcp from ${IPOut} 80 to any via ${LanOut}
${fwcmd} add pass tcp from any to ${IPOut} 80 via ${LanOut}
${fwcmd} add deny log all from any to any via ${LanOut}
${fwcmd} add deny ip from any to any
Подскажите что не так? Куда копать? Что лишнее, чего не хватает?
просьба ногами не пинать :)

Содержание

ssh не работает снаружи,Аноним, 03:22 , 14-Фев-06
- ssh не работает снаружи,tarantul, 17:43 , 14-Фев-06
- ssh не работает снаружи,tor, 17:48 , 14-Фев-06

Сообщения в этом обсуждении

"ssh не работает снаружи"
Отправлено Аноним , 14-Фев-06 03:22

>${fwcmd} add deny log all from any to any via ${LanOut}
А что клиентам которые за натом можно конектится только на то что разрешено выше этого правила?
Суть ната - пакет полученный снаружи на наружном интерфейсе имеет адрес получателя - адрес наружного интерфейса !!!
и правила
>${fwcmd} add pass all from ${NetInIP}/${NetInMask} to any
>${fwcmd} add pass all from any to ${NetInIP}/${NetInMask}
справидливы только для внутреннего интерфейса причем правило
>${fwcmd} add pass all from any to any via ${LanIn}
делает тоже самое ...
у тебя рубятся ответы снаружи или я что то незаметил ... причем это касается не только ssh ...
http работает благодаря чуду и наличию двух строк :-)
>${fwcmd} add pass tcp from ${IPOut} 80 to any via ${LanOut}
>${fwcmd} add pass tcp from any to ${IPOut} 80 via ${LanOut}

"ssh не работает снаружи"
Отправлено tarantul , 14-Фев-06 17:43

>у тебя рубятся ответы снаружи или я что то незаметил ... причем
>это касается не только ssh ...
где рубятся то? в упор не вижу, ткните носом

"ssh не работает снаружи"
Отправлено tor , 14-Фев-06 17:48

>>${fwcmd} add deny log all from any to any via ${LanOut}