Ликбез по Ipfw, Nat и т.д. во Freebsd (давайте тут советы советовать)

FreeBSD, NetBSD, OpenBSD, DragonFly и т. д.

Модератор: arachnid

Аватара пользователя
killdos
Сообщения: 187
Статус: Cклеротик
ОС: FreeBSD, NetBSD, винда

Ликбез по Ipfw, Nat и т.д. во Freebsd

Сообщение killdos »

Вопрос первый:

Код: Выделить всё

00100    0       0 check-state
00200 6728  485524 allow ip from any to any via lo0
00700 1712 1950677 count ip from any to any in via fxp0
00800    0       0 deny log ip from 192.168.0.0/24 to me in via fxp0
01000 8191 2507248 allow ip from me to any keep-state
01100  646   36528 allow tcp from 192.168.0.0/24 to me dst-port 20,21,25,80,110,3128 in via rl0
01200   26    1659 allow udp from 192.168.0.0/24 to 192.168.0.254 dst-port 53 in via rl0
01300   30    2892 fwd 192.168.0.254,3128 tcp from 192.168.0.0/24 to not me dst-port 20,21,80,81,443,563,8000
01400 2620 1995906 divert 8668 ip from any to any via fxp0
01500    0       0 reject icmp from any to any in icmptypes 5,9,13,14,15,16,17
01600   64    5376 allow icmp from any to any
01700 4173  407768 allow ip from 192.168.0.251 to 192.168.0.254 dst-port 22 setup keep-state
01800 2892 2178443 allow tcp from any to me dst-port 20,21,25,80,110 in via fxp0 setup keep-state
01900    0       0 allow udp from any to me dst-port 53 in via fxp0
02000  368   29386 allow tcp from any to any dst-port 5190
02100  305   46698 allow tcp from any 5190 to any
02200    0       0 allow tcp from any to any dst-port 25
02300    0       0 allow tcp from any 25 to any
02400    0       0 allow tcp from any to any dst-port 443,563 setup keep-state
02500    0       0 allow tcp from any 443,563 to any
02600    0       0 allow tcp from any to any dst-port 143
02700    0       0 allow tcp from any 143 to any
02800    0       0 allow udp from any to any dst-port 53
02900    0       0 allow udp from any 53 to any
03000 1494   61648 allow tcp from any to any dst-port 110
03100 2798 3839272 allow tcp from any 110 to any
03200    0       0 allow udp from any to any dst-port 119
03300    0       0 allow udp from any 119 to any
03400    0       0 allow ip from any to any dst-port 6667
03500    0       0 allow ip from any 6667 to any
65535  575   64819 deny ip from any to any
В таком виде всё замечательно работает. А если вставить правило

Код: Выделить всё

750 allow all from any to any established
то перестаёт коннектится ася, почта к mail.ru и всё что через НАТ должно ходить. Почему? А как надо?
"UNIX is simple and coherent..." (c) Dennis Ritchie, "GNU's Not UNIX" (c) Richard Stallman
Спасибо сказали:
Вернуться к началу
Аватара пользователя
killdos
Сообщения: 187
Статус: Cклеротик
ОС: FreeBSD, NetBSD, винда

Re: Ликбез по Ipfw, Nat и т.д. во Freebsd

Сообщение killdos »

Эх! Ни кто блин меня не любит :new_sad:
"UNIX is simple and coherent..." (c) Dennis Ritchie, "GNU's Not UNIX" (c) Richard Stallman
Спасибо сказали:
Вернуться к началу
Аватара пользователя
zenwolf
Бывший модератор
Сообщения: 3139
Статус: Страшный и злой
ОС: Slackware..Salix..x86_64

Re: Ликбез по Ipfw, Nat и т.д. во Freebsd

Сообщение zenwolf »

тяжки грехи твои сын мой :new_biggrin: ждём StaNNicka
мне долго и нудно придётся разбираться - а он админ всёж :new_biggrin:
Quae videmus quo dependet vultus. (лат) - То, что мы видим, зависит от того, куда мы смотрим.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Maestro
Сообщения: 227
Статус: ипэшник
ОС: FreeBSD-6.2 STABLE

Re: Ликбез по Ipfw, Nat и т.д. во Freebsd

Сообщение Maestro »

established
Только для TCP-пакетов. Соответствует пакетам с
установленными битами RST или ACK.

setup
Только для TCP-пакетов. Соответствует пакетам с
установленным битом SYN, но со сброшенным битом ACK.

Код: Выделить всё

allow all from any to any established

с этим все должно работать. Хотя у меня тоже траблы, надо попробовать удалить это правило - может все заработает <_<
дайте денег на обновление портов :)
Спасибо сказали:
Вернуться к началу

Вернуться в «Free и другие BSD»