Mobil 68 Опубликовано: 2010-10-09 22:12:56 Share Опубликовано: 2010-10-09 22:12:56 Вот мне от старого админа осталось наследство: Проблема заключается в том что не хочет работать с пулом белых адресов напрямую в mpd. если прописать allow from any to any тогда проблема устраняется, вот тогда я и понял что проблема в старом конфиге ipfw add 0 count log all from any to any via em1 f='/sbin/ipfw -q' ifout='em1' ipout='xxx.xxx.xxx.xxx' ifuser='em0' ipuser='192.168.0.1' usernet='192.168.0.0/24' vpnifs='ng*' vpnnet='10.0.0.0/16' vir_port=1026,1027,1061,1062,2869,3260,3261,3343,4500,58347 ${f} -f flush ${f} table 1 add 0.0.0.0/0 ${f} table 2 add 0.0.0.0/0 ${f} table 3 add 0.0.0.0/0 ${f} add 10 chek-state ${f} add 50 allow ip from any to any via lo0 ${f} add 51 deny all from any to 127.0.0.0/8 ${f} add 52 deny all from 127.0.0.0/8 to any ${f} add 60 allow ip from me to any keep-state ${f} add 70 deny log all from not ${usernet} to any in via ${ifuser} ${f} add 80 deny log all from not ${vpnnet} to any in via ${vpnifs} ${f} add 110 allow tcp from any to me 22 ${f} add 120 allow tcp from any to me 80 via ${ifuser} ${f} add 130 allow tcp from any to me 25 via ${ifuser} ${f} add 140 allow tcp from any to me 110 via ${ifuser} ${f} add 150 allow tcp from any to me 587 via ${ifuser} ${f} add 160 deny icmp from any to any frag ${f} add 165 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 170 allow icmp from any to me ${f} add 171 deny tcp from any to any not established tcpflags fin ${f} add 172 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg ${f} add 173 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg ${f} add 174 deny tcp from any to any 81,113,137,138,139,445 in via ${ifout} ${f} add 175 deny tcp from any to any 81,113,137,138,139,445 in via ${ifuser} ${f} add 176 deny tcp from any to any 81,113,137,138,139,445 in via ${vpnifs} ${f} add 180 allow udp from any to me 53 via ${ifuser} ${f} add 190 allow tcp from any to me 1723 via ${ifuser} ${f} add 195 allow tcp from any to me 7723 via ${ifuser} ${f} add 200 allow gre from ${usernet} to ${ipuser} in via ${ifuser} ${f} add 210 allow all from ${usernet} to ${ipuser} in via ${ifuser} ${f} add 220 allow all from ${usernet} to ${ipout} in via ${ifuser} ${f} add 230 allow all from ${vpnnet} to ${ipout} in via ${vpnifs} ${f} add 300 allow ip from any to me in via ${ifout} ${f} add 400 deny log ip from any to me ${f} add 65400 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубліковано: 2010-10-10 00:45:31 Share Опубліковано: 2010-10-10 00:45:31 ${f} add 10 chek-state наверное check-state ? ${f} add 80 deny log all from not ${vpnnet} to any in via ${vpnifs} эту строку убери и добавь наверное ${f} add 231 allow all from x.x.x.x/x to ${ipout} in via ${vpnifs} где x.x.x.x/x блок твоих белых адресов что ты выдаешь клиентам Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2010-10-10 14:21:55 Автор Share Опубліковано: 2010-10-10 14:21:55 ${f} add 10 chek-state наверное check-state ? ${f} add 80 deny log all from not ${vpnnet} to any in via ${vpnifs} эту строку убери и добавь наверное ${f} add 231 allow all from x.x.x.x/x to ${ipout} in via ${vpnifs} где x.x.x.x/x блок твоих белых адресов что ты выдаешь клиентам Спасибо большое. Потом сделать /etc/rc.d/ipfw restart или нужен полный reboot системы? Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубліковано: 2010-10-10 15:57:50 Share Опубліковано: 2010-10-10 15:57:50 можно рестарт, можно ручками. Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2010-10-10 16:41:31 Автор Share Опубліковано: 2010-10-10 16:41:31 можно рестарт, можно ручками. Все получилось. Спасибо. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас