FreeBSD

vadblm · Конфигурация компьютера

а ну тогда выше правильно сказали, используйте NAT.

Аlchemist · Отправлено: **14:57, 21-12-2009** | #12

Это не топик, а квест...
Не зря в названии темы промелькнул squid!

sergey1234567, хотите чтобы вам помогли - уважайте тех, у кого вы просите помощи!

Исправьте:
- название темы
- опишите свою сеть и участвующие в процессе серверы
- нормально вывесите скрипт с правилами, текстом, а не файлом в архиве
- опишите проблему и скажите что вы в итоге хотите получить

sergey1234567 · Отправлено: **15:19, 21-12-2009** | #13

Извиняюсь! Просто когда тему создавал - праздник сами понимаете

а поменять название темы я чото искал, ненашёл (может соэдать поновому?).

#!/bin/sh
oif="re0"
cmd="ipfw -q add"
ipfw -q -f flush
#razreshaem petlu
$cmd 00100 allow all from any to any via lo0
$cmd 00110 deny all from any to 127.0.0.0/8
$cmd 00120 deny all from 127.0.0.0/8 to any
#proverka virtualnih pravil

$cmd 00130 check-state

#zapret sozdanih soedineniy
$cmd 00140 deny all from any to any frag
$cmd 00150 deny tcp from any to any established
# Доступ squid по используемым портам
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
#доступ к DNS
$cmd 00190 allow tcp from any to 192.168.196.3 53 via $oif setup keep-state
$cmd 00195 allow udp from any to 192.168.196.3 53 via $oif keep-state

#Разрешаю доступ из внутренней сети к squid 3128
$cmd 00300 allow tcp from 192.168.196.0/24 to any 3128 in via $oif setup keep-state

gf100 · Отправлено: **16:17, 21-12-2009** | #14

sergey1234567, есть предложение промониторить и выложить здесь результат

> ipfw -a list

сразу будет видно какие правила когда срабатывают.

sergey1234567 · Отправлено: **16:52, 21-12-2009** | #15

До попыки подключения к фтп

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 67 62292 deny tcp from any to any established
00185 122 28430 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 0 0 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 2 319 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 188 36686 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91016 8141391 deny ip from any to any

после

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 85 65908 deny tcp from any to any established
00185 143 31726 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 79 5506 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 6 1081 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91264 8163373 deny ip from any to any

ps. ПопробЫвал сделать поподробней т.е. разделил 20 и 21 порты вижу что правило срабатывает только по 21 а по 20 чисто

gf100 · Отправлено: **19:51, 21-12-2009** | #16

sergey1234567, попробуй добавить правило:

65534 allow ip from any to any

если доступ не появится, то проблема, скорее всего, в

00150 deny tcp from any to any established

обычно на это условие ставят разрешающее правило.

Аlchemist · Отправлено: **09:47, 22-12-2009** | #17

sergey1234567,
Я так и не понял, у вас исходящий трафик проксируется или напрямую выходит?

Цитата gf100:

00150 deny tcp from any to any established
обычно на это условие ставят разрешающее правило. »

я обычно делаю его allow и ставлю куда-нибудь в конец списка.

sergey1234567 · Отправлено: **10:23, 22-12-2009** | #18

очень интересно - поменял
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
на
$cmd 00185 allow tcp from any to any out via $oif setup keep-state
и зароботоло, вывод какието порты неуказал?

Аlchemist · Отправлено: **10:37, 22-12-2009** | #19

Цитата sergey1234567:

вывод какието порты неуказал? »

видимо 3128
а вообще log в правило и cat /var/log/security

sergey1234567 · Отправлено: **11:02, 22-12-2009** | #20

ну как же 3128 указал
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
иначе как - бы всё остальное работало по этому же порту прокси работает? Или вы имели ввиду наружу - зачем?
А лог сделаю на выходных после нового года - тогда будит время покавырятся а то щас дёргать нехочется. А разобраться очень хочется.