|
|
 02-07-2009, 17:52
|
Ссылка на пост #16 | ||
|
Серфер
Сообщений: 14 На форуме с: 06.06.09
Провел: 22ч. |
Цитата: cyberb > tcp_drop_synfin="YES" - ваще знаешь зачем это нада?) как ты понимаешь что он не запустился? правила разрешающие в файеровле есть? правила трансляции в natd.conf есть? tcp_drop_synfin="YES" -- взял с "Лисяры" эта опция должна поидее не отдавать имя хоста. натд.конф : Цитата: > same_ports yes use_sockets yes redirect_port tcp 192.168.0.100:25 25 правило в фаере: Цитата: > allow tcp from any to {Внешний IP} dst-port 25 in via {Внешняя сетевуха} если демон ната не запушен , тоесть я убираю скрипт из rc.d , с моего компа да и вообще с localhosta перестают ходить даже пинги.... вот так и понимаю |
||
 |
|
|
02-07-2009, 17:59
|
Ссылка на пост #17 |
|
Продвинутый серфер
 Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
Так вот если не по идее, то ты тыкаешь то, что совсем не понимаешь ни что ни зачем - признак вообщем подхода к вопросу.
Патологическая лень не позволяет ознакомиться с http://www.freebsd.org/doc/en_US.IS...twork-natd.html http://www.freebsd.org/cgi/man.cgi?query=natd&sektion=8 1) ядро поддерживает ipdivert? 2) правил на диверт в файере не заметил, тока на разрешение коннекта. Ваще подходишь к вопросу крайне плохо - спустя рукава, вообщем как глобальное большинство тут. Я к тому, что ты спрашиваешь вопросы которые легко в состоянии решить сам, ты включаешь в конфиги то что не понимаешь. Как ты думаешь как будет работать сервер настроенный так? |
|
|
|
|
02-07-2009, 20:53
|
Ссылка на пост #18 | ||
|
Серфер
Сообщений: 14 На форуме с: 06.06.09
Провел: 22ч. |
Ну вот зачем так сразу =)
Я еще в первом посте отписался что делаю это в первый раз, теперь по теме : Ядро пересобрал с опциями : Цитата: > options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT Привел одно правило из фаера только потому что пытаюсь решить вполне конкретную задачу входящий форвардинг на 25 порту. Спросить совета решил потому что см. первый пост. В нат полез потому что как мне показалось ед. возможность решить задачу. Туплю в районе фаервола как мне кажется (более вероятно) либо изза левого запуска демона NAT не цепляется конфиг с редиректом. В общем вы уважаемый cyberb помоглиб несчастному студенту проблему решить =) |
||
|
|
|
|
02-07-2009, 21:09
|
Ссылка на пост #19 |
|
Продвинутый серфер
Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
я тож студент и если посмотришь по истории постов, то практически всегда отвечал на вопросы, а не задавал их
где правило диверта в файере? он примерно выглядит так /sbin/ipfw add divert natd all from any to any via ed0 и потом твое правило не работает, потому что у тя политика - по умолчанию открыто |
|
|
|
|
02-07-2009, 21:25
|
Ссылка на пост #20 | ||
|
Серфер
Сообщений: 14 На форуме с: 06.06.09
Провел: 22ч. |
с послендней опцией проступил копи паст... извиняюсь ..
вот ipfw show: em0- внутренний em1- внешний Цитата: > 00100 0 0 check-state 00200 0 0 allow ip from any to any via lo0 00300 0 0 deny ip from any to 127.0.0.0/8 00400 0 0 deny ip from 127.0.0.0/8 to any 00500 0 0 deny ip from any to 10.0.0.0/8 via em1 00600 0 0 deny ip from any to 172.16.0.0/12 via em1 00700 0 0 deny ip from any to 192.168.0.0/16 via em1 00800 0 0 deny ip from any to 0.0.0.0/8 via em1 00900 0 0 deny ip from any to 169.254.0.0/16 via em1 01000 17 2130 deny ip from any to 240.0.0.0/4 via em1 01100 0 0 deny icmp from any to any frag 01200 0 0 deny log icmp from any to 255.255.255.255 in via em1 01300 0 0 deny log icmp from any to 255.255.255.255 out via em1 01400 0 0 fwd 192.168.0.4,3128 tcp from 192.168.0.0/24 to any dst-port 80 via em1 01500 576 216614 allow tcp from any to {Внейшний адрес} dst-port 49152-65535 via em1 01600 4 216 allow tcp from any to {Внейшний адрес} dst-port 25 in via em1 01700 0 0 fwd 192.168.0.100,25 tcp from any to {Внейшний адрес} dst-port 2 5 via em1 01800 0 0 allow tcp from 192.168.0.0/24 to any dst-port 443 via em1 01900 0 0 allow tcp from 192.168.0.0 to any dst-port 5190 in via em0 02100 485 39528 allow tcp from any to {Внейшний адрес} dst-port 22 via em1 02200 0 0 divert 8668 ip from 192.168.0.0/24 to any out via em1 02300 863 44239 divert 8668 ip from any to {Внейшний адрес} in via em1 02400 166 10214 allow icmp from any to any icmptypes 0,8,11 02500 0 0 allow gre from any to any via em0 02600 3732 1228938 allow tcp from any to any established 02700 231 21090 allow ip from {Внейшний адрес} to any out xmit em1 02800 110 5388 allow tcp from any to any via em0 02900 2957 331529 allow udp from any to any via em0 03000 1 56 allow icmp from any to any via em0 03100 0 0 allow tcp from any to 192.168.0.4 dst-port 80 via em0 |
||
|
|
|
|
02-07-2009, 21:49
|
Ссылка на пост #21 |
|
Продвинутый серфер
Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
02300 863 44239 divert 8668 ip from any to {Внейшний адрес} in via em1
ну все работает, какие проблемы? Правила нада ваще делать закрыть все по умолчанию, изучить параметр keep-state и понять зачем он нужен. Из лога четко видно что половина правил ты тупо вставил непонятно зачем. |
|
|
|
|
02-07-2009, 22:38
|
Ссылка на пост #22 | ||
|
Серфер
Сообщений: 14 На форуме с: 06.06.09
Провел: 22ч. |
не совсем понимаю разницы между keep-state и setup , как написано в хэндбуке setup
Цитата: > Обязательное ключевое слово, которое распознает запрос о начале сессии для TCP пакетов. а меж тем keep-stateЦитата: > Обязательное ключевое слово. После совпадения файрволл создаст динамическое правило, чье поведение по умолчанию состоит в том, что бы было совпадение двунаправленного траффика между IP адресом или портом источника и приемника по тому же самому протоколу. надёжнее юзать keep-state ? |
||
|
|
|
|
03-07-2009, 00:05
|
Ссылка на пост #23 |
|
Продвинутый серфер
Продвинутый серфер
Сообщений: 2,405 На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин. |
надежнее понять чем отличается
|
|
|
|
|
03-07-2009, 16:41
|
Ссылка на пост #24 |
|
W&P Team
 W&P Team
 Сообщений: 4,810 На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин. |
kev-wapbbs:
Не мучайся. Написано, что оба параметра - ключевые, значит, так и должно быть. Сетуп запускает отслеживание каждой тцп-сессии, распознавая запросы на соединение, а кипстейт сравнивает клуджи в приходящих и уходящих пакетах (от начала обмена пакетами, т.е. сессии, и до её конца клудж один и тот же) -- и при совпадении действует так, как написано в хендбуке. |
|
|
|
Линейный вид
