форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Блогировка ipfw всего"	+/–
Сообщение от slowkazak (ok) on 03-Ноя-11, 10:50
Добрый день! Во фряхе я новичок и поэтому обращаюсь сюда, потому что от мануалов различной степени сложности уже плывет перед глазами. Проблема в чем: хочу-таки настроить ipfw,  но как-то он у меня слишком серьезно относится к своим задачам: Либо блочит все, либо висит открытым. перечитал приеры отсюда, пошарил в интернете, но результат никакой. Подскажите, пожалуйста, как можно хотяб просто разрешить интернет пользователю. Мне больше ничего не надо, порты закрыть уже смогу. Вот вывод при firewall-open: 00100     0        0 allow ip from any to any via lo0 00200     0        0 deny ip from any to 127.0.0.0/8 00300     0        0 deny ip from 127.0.0.0/8 to any 00400     0        0 deny ip from any to ::1 00500     0        0 deny ip from ::1 to any 00600     0        0 allow ipv6-icmp from :: to ff02::/16 00700     0        0 allow ipv6-icmp from fe80::/10 to fe80::/10 00800     2      240 allow ipv6-icmp from fe80::/10 to ff02::/16 00900     0        0 allow ipv6-icmp from any to any ip6 icmp6types 1 01000     0        0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 65000 61443 31406599 allow ip from any to any 65535  2390   205925 deny ip from any to any А вот мои последние потуги пропустить интернет хотяб на меня pfw add allow all from 192.168.1.6 to any via rl0 ipfw add deny all from 192.168.1.0/24 to any via rl0 rl0 - сетевуха, которая смотрит в интернет и, собственно, ppp поднят через нее. Помогите кто чем может, буду крайне благодарен.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Блогировка ipfw всего"	+/–
Сообщение от Ajavrik (ok) on 03-Ноя-11, 11:18
Первыми выполняются правила с меньшим номером. Дай ipfw show  и посмотри на вывод, правило разрешающее тебе должно стоять выше запрещающего всем. ipfw add allow all from 192.168.1.6 to any via rl0 ipfw add deny all from 192.168.1.0/24 to any via rl0 >[оверквотинг удален] > 01000     0       >  0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 > 65000 61443 31406599 allow ip from any to any > 65535  2390   205925 deny ip from any to any > А вот мои последние потуги пропустить интернет хотяб на меня > pfw add allow all from 192.168.1.6 to any via rl0 > ipfw add deny all from 192.168.1.0/24 to any via rl0 > rl0 - сетевуха, которая смотрит в интернет и, собственно, ppp поднят через > нее. > Помогите кто чем может, буду крайне благодарен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блогировка ipfw всего"	+/–
Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:20
Вам нужен НАТ и вам нужно включить Форвардинг пакетов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Блогировка ipfw всего"	+/–
	Сообщение от slowkazak (ok) on 03-Ноя-11, 11:25
	> Вам нужен НАТ и вам нужно включить Форвардинг пакетов. А если я поднял нат через rinerd? Как это лучше оформить тогда?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Блогировка ipfw всего"	+/–
	Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:27
	Поднимите через natd или kernel nat.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Блогировка ipfw всего"	+/–
	Сообщение от slowkazak (ok) on 03-Ноя-11, 11:29
	> Поднимите через natd или kernel nat. Окай, в таком случае мне нат 80 и 8080 делать на внешний интерфейс и с него, так?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Блогировка ipfw всего"	+/–
	Сообщение от slowkazak (ok) on 03-Ноя-11, 11:32
	> Поднимите через natd или kernel nat. Этот пример для начала подойдет? https://www.opennet.ru/openforum/vsluhforumID1/29722.html#1
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Блогировка ipfw всего"	+/–
	Сообщение от _sirius_ (ok) on 03-Ноя-11, 11:34
	Как раз то, что нада, и не забудьте же gateway_enable="YES"
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Блогировка ipfw всего"	+/–
	Сообщение от slowkazak (ok) on 03-Ноя-11, 12:48
	> Как раз то, что нада, и не забудьте же gateway_enable="YES" у меня уже стоит. Спасибо, вечером буду пробовать.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Блогировка ipfw всего"	+/–
	Сообщение от slowkazak (ok) on 03-Ноя-11, 19:08
	>> Как раз то, что нада, и не забудьте же gateway_enable="YES" > у меня уже стоит. Спасибо, вечером буду пробовать. Возможно я достаточно криворук, но сделал по-другому: Открыл все а до этого закрыл все ненужные порты в локалке и на внешке. Насколько кривая идея при условии что все работает как и хотел?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема