angels 0 Опубликовано: 2006-08-11 10:08:31 Share Опубликовано: 2006-08-11 10:08:31 Добрый день я с BSD знаком не так уж давно помогите мне настроить правельно фаервол и нат под фреебсд 6.0 делаю вот так собираю ядро с подержкой Цитата options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET options TCP_DROP_SYNFIN собралось вот так настроены сетевухи Цитата gmz# ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet6 fe80::20c:46ff:feb2:d783%rl0 prefixlen 64 scopeid 0x1 inet 194.44.79.55 netmask 0xffffffe0 broadcast 194.44.79.63 ether 00:0c:46:b2:d7:83 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet6 fe80::20c:46ff:feb2:d893%rl1 prefixlen 64 scopeid 0x2 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:0c:46:b2:d8:93 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet 127.0.0.1 netmask 0xff000000 вот такой rc.conf Цитата defaultrouter="194.44.79.36" hostname="gmz.com.ua" ifconfig_rl0="inet 194.44.79.55 netmask 255.255.255.224" ifconfig_rl1="inet 192.168.0.254 netmask 255.255.255.0" gateway_enable="YES" firewall_enable="YES" firewall_type="open" firewall_script="/etc/ipfw.sh" natd_enable="YES" natd_interface="rl0" tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" sendmail_enable="NONE" inetd_enable="YES" usbd_enable="YES" sshd_enable="YES" rl0 это внешняя сетевая rl1 внутроиняя вот так выглядит у меня скрипт ipfw.sh Цитата #!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.254/24' uprefix='192.168.0' ifout='rl0' ifuser='rl1' iflocal='lo0' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via ${iflocal} ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 320 allow icmp from any to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add 1002 allow tcp from ${uprefix}.2 to any 25,110,53 via ${ifuser} ${ipfw} add 1002 allow tcp from any 25,53,110 to ${uprefix}.2 ${ipfw} add 1002 deny all from any to ${uprefix}.2 ${ipfw} add 1003 allow ip from ${uprefix}.3 to any via ${ifuser} ${ipfw} add 1003 allow ip from any to ${uprefix}.3 via ${ifuser} ${ipfw} add 1004 allow ip from ${uprefix}.4 to any via ${ifuser} ${ipfw} add 1004 allow ip from any to ${uprefix}.4 via ${ifuser} #${ipfw} add 65535 deny ip from any to any так и не понял что суда писать нужно ournet='192.168.0.254/24' я написал айпи внутреной ситевой мне нужно просто занатить юзеров тобиш чтоб я добавив 2 правила в фаерволе определённый юзер получал инет (ну или удалив 2 правила соответствено нет) юзер с айпи адресом 192.168.0.2 может только получать и передавать почту в итоге я сервер пингую с клиенсткой машины на самом сервере инет есть проверял пытаюсь открыть страничку вижу балалайку (на клиенсткой машине всё прописано и шлюз и айпи и маска и днс провайдера) помогите плиз в чём бок или поделитесь свом рабочим конфигом с Ув Ссылка на сообщение Поделиться на других сайтах
angels 0 Опубліковано: 2006-08-11 11:16:24 Автор Share Опубліковано: 2006-08-11 11:16:24 (відредаговано) блин вот что методом тыка узнал вот так всё работает тобиш могу и в инет влезть и по ssh законектиться но тут же всё открыто и лазь кому не лень Цитата #!/bin/sh ipfw='/sbin/ipfw -q' ${ipfw} -f flush ${ipfw} add divert natd all from any to any via rl0 ${ipfw} add allow all from any to any тож самое только вот так уже не работает #!/bin/shipfw='/sbin/ipfw -q' ournet='192.168.0.0/24' ${ipfw} -f flush ${ipfw} add divert natd ip from ${ournet} to any out via rl0 ${ipfw} add allow ip from 192.168.0.200 to any via rl1 ${ipfw} add allow ip from any to 192.168.0.200 via rl1 что ни так (понял разницу там all а здесь ip) как всётаки запустить по второму способу помогите ...... с Ув в след. раз внимательней смотрите куда постите Відредаговано 2006-08-11 14:44:11 egor2fsys Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас