Проблема с ipfw

[rntf 0]

У меня Фрибздя 5.1

Настраиваю по мануалу!

Делал уже все что угодно...не могу пингонуть шлюз провайдера 10.2.0.1, а узел 192.168.100.1 пингует без проблем! хелп плиз!

И не могу зайти в и-нет!

 

Собственно сабж в студию:

 

ipfw:

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="rl1"

ext_if="rl0"

 

${fwcmd} -f flush

 

${natdcmd} -s -m -u -a 10.2.4.193

 

${fwcmd} add 10 allow icmp from any to any

 

#${fwcmd} add 300 deny ip from any to 192.168.0.0/16 out via ${ext_if}

#${fwcmd} add 301 deny ip from any to 10.0.0.0/16 out via ${ext_if}

#${fwcmd} add 302 deny ip from any to 172.16.0.0/12 out via ${ext_if}

 

 

${fwcmd} add 306 allow tcp from 10.10.10.1 to 10.10.10.10 5555 via ${int_if}

${fwcmd} add 307 allow tcp from 10.10.10.10 5555 to 10.10.10.1 via ${int_if}

 

${fwcmd} add 308 allow udp from any to 10.10.10.10 8888 via ${int_if}

${fwcmd} add 309 allow udp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 310 allow tcp from 10.10.10.1 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 311 allow tcp from 10.10.10.2 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 312 allow tcp from 10.10.10.3 to 10.10.10.10 22 via ${int_if}

${fwcmd} add 313 allow tcp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 320 deny log ip from 10.10.10.0/23 to 10.10.10.10 via ${int_if}

${fwcmd} add 321 deny log ip from 10.10.10.0/23 to 10.2.4.193 via ${int_if}

 

${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

 

${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup

${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

 

${fwcmd} add 50031 allow udp from any to any out via ${ext_if}

${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

${fwcmd} add 50033 allow udp from any to any via any

${fwcmd} add 65534 deny log ip from any to any

 

скрипт OnConnect

 

fwcmd=”/sbin/ipfw”

int_if="rl1"

 

# Login

LOGIN=$1

 

#user IP

#echo $2

ip=$2

 

 

#user ID

id=$4

 

${fwcmd} add `expr $id '*' 10 + 29001` allow ip from $2 to any via ${int_if}

echo "connected `date +%Y.%m.%d_______%H:%M:%S` $1 $2" >> /var/log/connect.log

 

ХЕЛП ПЛИЗ!!

[rntf 0]

Отвечу сам!

 

ВОТ ПРАВИЛЬНЫЙ ФАЕРВОЛ...ТОТ, КОТОРЫЙ работает при этих скриптах он коннект и дисконнект!

 

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="rl1"

ext_if="rl0"

 

${fwcmd} -f flush

 

${natdcmd} -s -m -u -a 10.2.4.193

 

${fwcmd} add 1 divert natd ip from any to any via ${ext_if}

${fwcmd} add 10 allow icmp from any to any

 

#${fwcmd} add 300 deny ip from any to 192.168.0.0/16 out via ${ext_if}

#${fwcmd} add 301 deny ip from any to 10.0.0.0/16 out via ${ext_if}

#${fwcmd} add 302 deny ip from any to 172.16.0.0/12 out via ${ext_if}

 

 

${fwcmd} add 306 allow tcp from 10.10.10.1 to 10.10.10.10 5555 via ${int_if}

${fwcmd} add 307 allow tcp from 10.10.10.10 5555 to 10.10.10.1 via ${int_if}

 

${fwcmd} add 308 allow udp from any to 10.10.10.10 8888 via ${int_if}

${fwcmd} add 309 allow udp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 310 allow tcp from 10.10.10.1 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 311 allow tcp from 10.10.10.2 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 312 allow tcp from 10.10.10.3 to 10.10.10.10 22 via ${int_if}

${fwcmd} add 313 allow tcp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 320 deny log ip from 10.10.10.0/23 to 10.10.10.10 via ${int_if}

${fwcmd} add 321 deny log ip from 10.10.10.0/23 to 10.2.4.193 via ${int_if}

 

 

${fwcmd} add 50029 allow tcp from 10.10.10.0/23 to any out via ${ext_if}

${fwcmd} add 50030 allow tcp from any to 10.10.10.0/23 in via ${ext_if}

${fwcmd} add 50031 allow tcp from any to any out xmit ${ext_if} setup

${fwcmd} add 50032 allow tcp from any to any via ${ext_if} established

 

 

 

${fwcmd} add 50035 allow udp from any to any out via ${ext_if}

${fwcmd} add 50036 allow udp from any 53 to any in via ${ext_if}

${fwcmd} add 50037 allow udp from any to any via any

${fwcmd} add 65534 deny log ip from any to any

 

теперь скрипт OnConnect

 

fwcmd="/sbin/ipfw"

int_if="rl1"

 

LOGIN=$1

 

ip=$2

 

id=$4

 

${fwcmd} add `expr $id '*' 10 + 29000` allow ip from $ip to any via ${int_if}

${fwcmd} add `expr $id '*' 10 + 29001` allow ip from any to $ip via ${int_if}

 

echo "connected `date +%Y.%m.%d______%H:%M:%S` $1 $2" >> /var/log/connect.log

 

А вот и OnDisconnect

 

##!/sbin/sh

fwcmd="/sbin/ipfw"

int_if="rl1"

LOGIN=$1

 

ip=$2

 

CASH=$3

 

id=$4

 

${fwcmd} delete `expr $id '*' 10 + 29000`

${fwcmd} delete `expr $id '*' 10 + 29001`

echo "disconnected `date +%Y.%m.%d_____%H:%M:%S` $1 $2 " >> /var/log/connect.log

 

 

 

Коментс:

 

rl1 это внутрений интерфейс, который смотрит в мою сеть

rl0 это внешний, который смотрит в и-нет

[denz 0]

Отвечу сам!

 

ВОТ ПРАВИЛЬНЫЙ ФАЕРВОЛ...ТОТ, КОТОРЫЙ работает при этих скриптах он коннект и дисконнект!

 

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="rl1"

ext_if="rl0"

 

${fwcmd} -f flush

 

${natdcmd} -s -m -u -a 10.2.4.193

 

${fwcmd} add 1 divert natd ip from any to any via ${ext_if}

${fwcmd} add 10 allow icmp from any to any

 

#${fwcmd} add 300 deny ip from any to 192.168.0.0/16 out via ${ext_if}

#${fwcmd} add 301 deny ip from any to 10.0.0.0/16 out via ${ext_if}

#${fwcmd} add 302 deny ip from any to 172.16.0.0/12 out via ${ext_if}

 

 

${fwcmd} add 306 allow tcp from 10.10.10.1 to 10.10.10.10 5555 via ${int_if}

${fwcmd} add 307 allow tcp from 10.10.10.10 5555 to 10.10.10.1 via ${int_if}

 

${fwcmd} add 308 allow udp from any to 10.10.10.10 8888 via ${int_if}

${fwcmd} add 309 allow udp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 310 allow tcp from 10.10.10.1 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 311 allow tcp from 10.10.10.2 to 10.10.10.10 22 via ${int_if}

#${fwcmd} add 312 allow tcp from 10.10.10.3 to 10.10.10.10 22 via ${int_if}

${fwcmd} add 313 allow tcp from 10.10.10.10 to any via ${int_if}

 

${fwcmd} add 320 deny log ip from 10.10.10.0/23 to 10.10.10.10 via ${int_if}

${fwcmd} add 321 deny log ip from 10.10.10.0/23 to 10.2.4.193 via ${int_if}

 

 

${fwcmd} add 50029 allow tcp from 10.10.10.0/23 to any out via ${ext_if}

${fwcmd} add 50030 allow tcp from any to 10.10.10.0/23 in via ${ext_if}

${fwcmd} add 50031 allow tcp from any to any out xmit ${ext_if} setup

${fwcmd} add 50032 allow tcp from any to any via ${ext_if} established

 

 

 

${fwcmd} add 50035 allow udp from any to any out via ${ext_if}

${fwcmd} add 50036 allow udp from any 53 to any in via ${ext_if}

${fwcmd} add 50037 allow udp from any to any via any

${fwcmd} add 65534 deny log ip from any to any

 

теперь скрипт OnConnect

 

fwcmd="/sbin/ipfw"

int_if="rl1"

 

LOGIN=$1

 

ip=$2

 

id=$4

 

${fwcmd} add `expr $id '*' 10 + 29000` allow ip from $ip to any via ${int_if}

${fwcmd} add `expr $id '*' 10 + 29001` allow ip from any to $ip via ${int_if}

 

echo "connected `date +%Y.%m.%d______%H:%M:%S` $1 $2" >> /var/log/connect.log

 

А вот и OnDisconnect

 

##!/sbin/sh

fwcmd="/sbin/ipfw"

int_if="rl1"

LOGIN=$1

 

ip=$2

 

CASH=$3

 

id=$4

 

${fwcmd} delete `expr $id '*' 10 + 29000`

${fwcmd} delete `expr $id '*' 10 + 29001`

echo "disconnected `date +%Y.%m.%d_____%H:%M:%S` $1 $2 " >> /var/log/connect.log

 

 

 

Коментс:

 

rl1 это внутрений интерфейс, который смотрит в мою сеть

rl0 это внешний, который смотрит в и-нет

разобрадся...? молодец... хочу подсказать, в 5-ой ветке фрибсд по дефолту собирается ipfw2... и еще, почитай внимательно в тех же манах что за правило у тебя 50032 (!) иначе долго будет стоять немой вопрос в глазах...

что по фаеру... стучи 12107764