Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
имхо это правило 30. Пакеты срезаются на нем и не доходят до... 14.11.05 12:26 Число просмотров: 2903
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
имхо это правило 30. Пакеты срезаются на нем и не доходят до сквида.
Нужно наверное сделать так:
ipfw add 30 reject ip from ${netall} to any in via ${ifout}
> Привет всемогущий all. > Передо мной встал новый вопрос - по скольку в "данный > момент" я не могу находиться на рабочем месте приходится > админить сервер удаленно. Собственно сапер ошибается > единажды - как и сис. админ при удаленном конфиге > файрвола)) Суть проблемы: имеется сеть офиса -> В > локалке стоит внутренний сервак (ВС) с работающем DHCP, с > помощью которого сеть офисса делится на 2 отдела: > 192.168.188.xxx / 192.168.187.xxx. Соответственно > происходит динамическое распределение ip. В интет ходим > через выделенку, локальная сеть скрывается внешним роутером > на freebsd (ВР). ВР - имеет три сетевухи: rl0 - смотрит > наружу, rl1 - в локалку напрямую во ВС, и rl2 - клиентов > зацепили, чтоб инет юзали. Также на ВР вертится > transp-proxy. При конфиге IPFW в следующем "не грамотном" > виде, все пакетики бегают "все" users счастливы: > ipfw pipe 1 config bw 512Kbit/s > ipfw pipe 2 config bw 256Kbit/s > ipfw pipe 3 config bw 1024Kbit/s > ipfw add 10 allow ip from any to any via lo0 > ipfw add 20 deny all from 192.168.0.0/24 to > 192.168.188.0/24 > ipfw add 20 deny all from 192.168.0.0/24 to > 192.168.187.0/24 > ipfw add 20 deny all from 192.168.0.0/24 to > 192.168.184.0/24 > ipfw add 27 allow all from 82.179.111.126 to 204.152.184.73 > ipfw add 27 allow all from 204.152.184.73 to 82.179.111.126 > ipfw add 28 allow tcp from 82.179.111.126 20 to > 192.168.187.0/24 out > ipfw add 28 allow tcp from 82.179.111.126 21 to > 192.168.187.0/24 out > ipfw add 28 allow tcp from 192.168.187.0/24 to > 82.179.111.126 20 in > ipfw add 28 allow tcp from 192.168.187.0/24 to > 82.179.111.126 21 in > ipfw add 29 allow tcp from 82.179.111.126 20 to > 192.168.188.101 out > ipfw add 29 allow tcp from 82.179.111.126 21 to > 192.168.188.101 out > ipfw add 29 allow tcp from 192.168.188.101 to > 82.179.111.126 20 in > ipfw add 29 allow tcp from 192.168.188.101 to > 82.179.111.126 21 in > ipfw add 30 pipe 2 tcp from 82.179.111.126 20 to any out > ipfw add 30 pipe 2 tcp from 82.179.111.126 21 to any out > ipfw add 30 pipe 2 tcp from any to 82.179.111.126 20 in > ipfw add 30 pipe 2 tcp from any to 82.179.111.126 21 in > ipfw add 31 pipe 2 all from 192.168.0.0/24 to any via rl2 > ipfw add 31 pipe 2 all from any to 192.168.0.0/24 > ipfw add 32 pipe 1 all from 192.168.188.76 to any via rl1 > ipfw add 32 pipe 1 all from any to 192.168.188.76 > ipfw add 33 pipe 1 all from 192.168.188.68 to any via rl1 > ipfw add 33 pipe 1 all from any to 192.168.188.68 > ipfw add 34 pipe 1 all from 192.168.188.86 to any via rl1 > ipfw add 34 pipe 1 all from any to 192.168.188.86 > ipfw add 90 fwd 127.0.0.1,3128 tcp from 192.168.0.0/16 to > any 80 > ipfw add 100 allow ip from any to any via rl1 > ipfw add 500 divert 8668 ip from 192.168.0.0/16 to any > ipfw add 600 allow ip from any to any out via rl0 > ipfw add 800 divert 8668 ip from any to any via rl0 > ipfw add 900 allow ip from any to any > > Написал новый конфиг -> > > netkomp='192.168.188.0/24' > nettp='192.168.187.0/24' > netclient='192.168.0.0/24' > netall='192.168.0.0/16' > ifout='rl0' > ifsez='rl1' > ifclient='rl2' > ipfw -f flush > ipfw pipe 1 config bw 256Kbit/s > ipfw pipe 2 config bw 512Kbit/s > ipfw pipe 3 config bw 1024Kbit/s > ipfw add 10 check-state > ipfw add 20 deny icmp from any to any in icmptypes > 5,9,13,14,15,16,17 > ipfw add 30 reject ip from ${netall} to any via ${ifout} > ipfw add 40 allow ip from any to any via l0 > ipfw add 50 allow tcp from me to any keep-state via > ${ifout} > ipfw add 60 allow icmp from any to any > ipfw add 70 allow udp from me to any domain keep-state > ipfw add 80 allow udp from any to me domain > ipfw add 90 allow ip from me to any > ipfw add 200 fwd 127.0.0.1,3128 tcp from ${netall} to any > 80 out via ${ifout} > ipfw add 300 divert natd ip from ${netall} to any out via > ${ifout} > ipfw add 400 allow ip from ${netkomp} to any via ${ifsez} > ipfw add 500 allow ip from ${nettp} to any via ${ifsez} > ipfw add 600 allow ip from ${netclient} to any via > ${ifclient} > ipfw add 700 allow all from any to any > И тут загвоздка: при коннекте к роутеру через модем ppp0 > все прекрасно работаем, но во внутренний сети проблемы - > клиенты с локалки (ВС - сети 187.0/24 188.0/24) в инет не > ходят=(! Причем, как видно это настройка открытого файрвола > (правило 700) - вообще в целях построить закрытый фв-л для > доступа только по http, pop, smtp и т.п. дабы отсечь P2P > клиентов и другую ерунду хламящую траффик. > Спасибо за понимание...
|
|
|