Всем привет...
Помогите правильно настроить файер...
В клиенте, если выставить в качестве шлюза по умолчанию - пинги и трасерты на сайты идут без проблем. А IE работать не хочет?
Что нужно добавить?Стоит так:
#!/bin/sh
fwcmd="/sbin/ipfw"
#${fwcmd} -f flush${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any${fwcmd} add divert 8668 ip from any to any via tun0
${fwcmd} add allow ip from any to any via xl0${fwcmd} add allow icmp from any to any in via tun0 icmptypes 0,3,4,8,11,12
${fwcmd} add allow icmp from any to any out via tun0 icmptypes 0,3,8,12${fwcmd} add allow tcp from any to me 22,1723
${fwcmd} add allow tcp from me 22,1723 to any
${fwcmd} add allow gre from any to any${fwcmd} add allow tcp from me to any 22,53,80,443,20,21,123,5999
${fwcmd} add allow tcp from any 22,53,80,443,20,21,123,5999 to me
${fwcmd} add allow udp from me to any 53
${fwcmd} add allow udp from any 53 to me${fwcmd} add allow tcp from any to any 25,110,143,5190
${fwcmd} add allow tcp from any 25,110,143,5190 to any#! VPN Users
${fwcmd} add allow ip from 192.168.100.101-192.168.100.250 to any
${fwcmd} add allow ip from any to 192.168.100.100-192.168.100.250${fwcmd} add 65530 deny ip from any to any
Добавил в конце${fwcmd} add 65000 allow ip from any to any
заработало...
Сайты Эксплорер начал откроывать без проблем.
т.е. какая-то строка не дописана...
Подскажите?
попробуйте так
${fwcmd} add allow tcp from me to any 80
>попробуйте так
>${fwcmd} add allow tcp from me to any 80не потянуло...
тут же вроде этот порт есть
${fwcmd} add allow tcp from me to any 22,53,80,443,20,21,123,5999
${fwcmd} add allow tcp from any 22,53,80,443,20,21,123,5999 to me
и туда и обратно
>>попробуйте так
>>${fwcmd} add allow tcp from me to any 80
>
>не потянуло...
>тут же вроде этот порт есть
>${fwcmd} add allow tcp from me to any 22,53,80,443,20,21,123,5999
>${fwcmd} add allow tcp from any 22,53,80,443,20,21,123,5999 to me
>и туда и обратнодобавляем
${fwcmd} add allow log tcp from any ti anyи смотрим в логе что бегает по этому правилу.
>>>попробуйте так
>>>${fwcmd} add allow tcp from me to any 80
>>
>>не потянуло...
>>тут же вроде этот порт есть
>>${fwcmd} add allow tcp from me to any 22,53,80,443,20,21,123,5999
>>${fwcmd} add allow tcp from any 22,53,80,443,20,21,123,5999 to me
>>и туда и обратно
>
>добавляем
>${fwcmd} add allow log tcp from any ti any
>
>и смотрим в логе что бегает по этому правилу.
Вы имеете ввиду правило>${fwcmd} add allow ip from any to any
что по нему бегает?
А где лог находиться? В какой файл он инфу пишет:)
добавляете это правило перед последним правилом с deny all from any to any
${fwcmd} add allow log all from any to anyоно будет ловить все пакеты, которые не попадаю под предыдущие правила....и писать в лог:
/var/log/securityпробуем открыть страницу в броузере и смотрим в логе какие при этом пакеты проходят по нашему правилу.
>добавляете это правило перед последним правилом с deny all from any to
>any
>${fwcmd} add allow log all from any to any
>
>оно будет ловить все пакеты, которые не попадаю под предыдущие правила....и писать
>в лог:
>/var/log/security
>
>пробуем открыть страницу в броузере и смотрим в логе какие при этом
>пакеты проходят по нашему правилу.Набираю ya.ru, появляется в логе эта строка
May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in via tun0
Неужели эта строка не накрывает это правило
01300 4 160 allow tcp from any 22,53,80,443,20,21,123,5999 to me?
>Набираю ya.ru, появляется в логе эта строка
>
>May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in
>via tun0
>
>Неужели эта строка не накрывает это правило
>01300 4 160 allow tcp
>from any 22,53,80,443,20,21,123,5999 to me
>
>?а 192.168.50.195 - это что за адрес? если клиент из локалки то конечно "не накрывает"
>>Набираю ya.ru, появляется в логе эта строка
>>
>>May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in
>>via tun0
>>
>>Неужели эта строка не накрывает это правило
>>01300 4 160 allow tcp
>>from any 22,53,80,443,20,21,123,5999 to me
>>
>>?
>
>а 192.168.50.195 - это что за адрес? если клиент из локалки то
>конечно "не накрывает"Да, это клиент из локалки...
Какой строкой его можно покрыть?
>>добавляете это правило перед последним правилом с deny all from any to
>>any
>>${fwcmd} add allow log all from any to any
>>
>>оно будет ловить все пакеты, которые не попадаю под предыдущие правила....и писать
>>в лог:
>>/var/log/security
>>
>>пробуем открыть страницу в броузере и смотрим в логе какие при этом
>>пакеты проходят по нашему правилу.
>
>Набираю ya.ru, появляется в логе эта строка
>
>May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in
>via tun0
>
>Неужели эта строка не накрывает это правило
>01300 4 160 allow tcp
>from any 22,53,80,443,20,21,123,5999 to me
>
>?
НЕ покрывает.
Адрес 192.168.50.195 интервейса tun0, это не есть адрес me
>>добавляете это правило перед последним правилом с deny all from any to
>>any
>>${fwcmd} add allow log all from any to any
>>
>>оно будет ловить все пакеты, которые не попадаю под предыдущие правила....и писать
>>в лог:
>>/var/log/security
>>
>>пробуем открыть страницу в броузере и смотрим в логе какие при этом
>>пакеты проходят по нашему правилу.
>
>Набираю ya.ru, появляется в логе эта строка
>
>May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in
>via tun0
>
>Неужели эта строка не накрывает это правило
>01300 4 160 allow tcp
>from any 22,53,80,443,20,21,123,5999 to me
>
>?
http://www.opennet.me/man.shtml?topic=ipfw&category=8&russian=0Если указать me, правилу будет соответствовать любой IP-адрес, сконфигурированный на любом из интерфейсов системы.
>>>добавляете это правило перед последним правилом с deny all from any to
>>>any
>>>${fwcmd} add allow log all from any to any
>>>
>>>оно будет ловить все пакеты, которые не попадаю под предыдущие правила....и писать
>>>в лог:
>>>/var/log/security
>>>
>>>пробуем открыть страницу в броузере и смотрим в логе какие при этом
>>>пакеты проходят по нашему правилу.
>>
>>Набираю ya.ru, появляется в логе эта строка
>>
>>May 18 09:39:33 freebsd kernel: ipfw: 65500 Accept TCP 217.73.200.169:80 192.168.50.195:2757 in
>>via tun0
>>
>>Неужели эта строка не накрывает это правило
>>01300 4 160 allow tcp
>>from any 22,53,80,443,20,21,123,5999 to me
>>
>>?
>
>
>http://www.opennet.me/man.shtml?topic=ipfw&category=8&russian=0
>
>Если указать me, правилу будет соответствовать любой IP-адрес, сконфигурированный на любом из
>интерфейсов системы.192.168.50.195 - это адрес компа внутри сети, который пытается выйти через НАТ в инет...
Интерфейс на серваке, смотрящий внутрь(внутренняя сетевая карточка имеет IP 192.168.50.204)Какую строку добавить в ipfw чтобы решить данную проблему?
>>попробуйте так
>>${fwcmd} add allow tcp from me to any 80
>
>не потянуло...
>тут же вроде этот порт естьвиноват, не внимательно прочёл
Попробуйте добавить${fwcmd} add 1 check-state
и заменить
${fwcmd} add allow tcp from me to any 22,53,80,443,20,21,123,5999на
${fwcmd} add allow tcp from any to any 22,53,80,443,20,21,123,5999 out setup keep-state("any" как source addr будет быстрее работать, а "out" однозначно определит направление).
${fwcmd} add allow tcp from any to any established