Вернуться   W&PBBS > Software > Unix/Linux/BSD > BSD
Имя
Пароль
FAQ Пометить все разделы прочитанными



Ответ
Опции темы
Старый 02-07-2009, 17:52 Ссылка на пост    #16
kev-wapbbs
Серфер

Нет голосов

Сообщений: 14
На форуме с: 06.06.09
Провел: 22ч.

Цитата: cyberb >
tcp_drop_synfin="YES" - ваще знаешь зачем это нада?)
как ты понимаешь что он не запустился? правила разрешающие в файеровле есть? правила трансляции в natd.conf есть?

tcp_drop_synfin="YES" -- взял с "Лисяры" эта опция должна поидее не отдавать имя хоста.

натд.конф :
Цитата: > same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.100:25 25

правило в фаере:
Цитата: > allow tcp from any to {Внешний IP} dst-port 25 in via {Внешняя сетевуха}

если демон ната не запушен , тоесть я убираю скрипт из rc.d , с моего компа да и вообще с localhosta перестают ходить даже пинги.... вот так и понимаю
kev-wapbbs вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 17:59 Ссылка на пост    #17
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

Так вот если не по идее, то ты тыкаешь то, что совсем не понимаешь ни что ни зачем - признак вообщем подхода к вопросу.

Патологическая лень не позволяет ознакомиться с
http://www.freebsd.org/doc/en_US.IS...twork-natd.html
http://www.freebsd.org/cgi/man.cgi?query=natd&sektion=8

1) ядро поддерживает ipdivert?
2) правил на диверт в файере не заметил, тока на разрешение коннекта.

Ваще подходишь к вопросу крайне плохо - спустя рукава, вообщем как глобальное большинство тут. Я к тому, что ты спрашиваешь вопросы которые легко в состоянии решить сам, ты включаешь в конфиги то что не понимаешь. Как ты думаешь как будет работать сервер настроенный так?
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 20:53 Ссылка на пост    #18
kev-wapbbs
Серфер

Нет голосов

Сообщений: 14
На форуме с: 06.06.09
Провел: 22ч.

Ну вот зачем так сразу =)
Я еще в первом посте отписался что делаю это в первый раз, теперь по теме :
Ядро пересобрал с опциями :
Цитата: > options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT

Привел одно правило из фаера только потому что пытаюсь решить вполне конкретную задачу входящий форвардинг на 25 порту. Спросить совета решил потому что см. первый пост. В нат полез потому что как мне показалось ед. возможность решить задачу. Туплю в районе фаервола как мне кажется (более вероятно) либо изза левого запуска демона NAT не цепляется конфиг с редиректом. В общем вы уважаемый cyberb помоглиб несчастному студенту проблему решить =)
kev-wapbbs вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 21:09 Ссылка на пост    #19
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

я тож студент и если посмотришь по истории постов, то практически всегда отвечал на вопросы, а не задавал их

где правило диверта в файере? он примерно выглядит так
/sbin/ipfw add divert natd all from any to any via ed0

и потом твое правило не работает, потому что у тя политика - по умолчанию открыто
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 21:25 Ссылка на пост    #20
kev-wapbbs
Серфер

Нет голосов

Сообщений: 14
На форуме с: 06.06.09
Провел: 22ч.

с послендней опцией проступил копи паст... извиняюсь ..

вот ipfw show:

em0- внутренний
em1- внешний
Цитата: > 00100 0 0 check-state
00200 0 0 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 10.0.0.0/8 via em1
00600 0 0 deny ip from any to 172.16.0.0/12 via em1
00700 0 0 deny ip from any to 192.168.0.0/16 via em1
00800 0 0 deny ip from any to 0.0.0.0/8 via em1
00900 0 0 deny ip from any to 169.254.0.0/16 via em1
01000 17 2130 deny ip from any to 240.0.0.0/4 via em1
01100 0 0 deny icmp from any to any frag
01200 0 0 deny log icmp from any to 255.255.255.255 in via em1
01300 0 0 deny log icmp from any to 255.255.255.255 out via em1
01400 0 0 fwd 192.168.0.4,3128 tcp from 192.168.0.0/24 to any dst-port 80 via em1
01500 576 216614 allow tcp from any to {Внейшний адрес} dst-port 49152-65535 via em1
01600 4 216 allow tcp from any to {Внейшний адрес} dst-port 25 in via em1
01700 0 0 fwd 192.168.0.100,25 tcp from any to {Внейшний адрес} dst-port 2 5 via em1
01800 0 0 allow tcp from 192.168.0.0/24 to any dst-port 443 via em1
01900 0 0 allow tcp from 192.168.0.0 to any dst-port 5190 in via em0

02100 485 39528 allow tcp from any to {Внейшний адрес} dst-port 22 via em1
02200 0 0 divert 8668 ip from 192.168.0.0/24 to any out via em1
02300 863 44239 divert 8668 ip from any to {Внейшний адрес} in via em1
02400 166 10214 allow icmp from any to any icmptypes 0,8,11
02500 0 0 allow gre from any to any via em0
02600 3732 1228938 allow tcp from any to any established
02700 231 21090 allow ip from {Внейшний адрес} to any out xmit em1
02800 110 5388 allow tcp from any to any via em0
02900 2957 331529 allow udp from any to any via em0
03000 1 56 allow icmp from any to any via em0
03100 0 0 allow tcp from any to 192.168.0.4 dst-port 80 via em0
kev-wapbbs вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 21:49 Ссылка на пост    #21
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

02300 863 44239 divert 8668 ip from any to {Внейшний адрес} in via em1

ну все работает, какие проблемы? Правила нада ваще делать закрыть все по умолчанию, изучить параметр keep-state и понять зачем он нужен. Из лога четко видно что половина правил ты тупо вставил непонятно зачем.
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-07-2009, 22:38 Ссылка на пост    #22
kev-wapbbs
Серфер

Нет голосов

Сообщений: 14
На форуме с: 06.06.09
Провел: 22ч.

не совсем понимаю разницы между keep-state и setup , как написано в хэндбуке setup
Цитата: > Обязательное ключевое слово, которое распознает запрос о начале сессии для TCP пакетов.
а меж тем keep-state
Цитата: > Обязательное ключевое слово. После совпадения файрволл создаст динамическое правило, чье поведение по умолчанию состоит в том, что бы было совпадение двунаправленного траффика между IP адресом или портом источника и приемника по тому же самому протоколу.

надёжнее юзать keep-state ?
kev-wapbbs вне форума   Вставить выделенное      Ответить с цитированием
Старый 03-07-2009, 00:05 Ссылка на пост    #23
cyberb
Продвинутый серфер
Продвинутый серфер


Сообщений: 2,405
На форуме с: 05.07.05
Провел: 3нед. 1д. 11ч. 52мин.

надежнее понять чем отличается
cyberb вне форума   Вставить выделенное      Ответить с цитированием
Старый 03-07-2009, 16:41 Ссылка на пост    #24
Dud
W&P Team
W&P Team
 
Dud

На форуме с: 14.04.02
Провел: 2мес. 3нед. 8ч. 1мин.

kev-wapbbs:

Не мучайся. Написано, что оба параметра - ключевые, значит, так и должно быть.

Сетуп запускает отслеживание каждой тцп-сессии, распознавая запросы на соединение, а кипстейт сравнивает клуджи в приходящих и уходящих пакетах (от начала обмена пакетами, т.е. сессии, и до её конца клудж один и тот же) -- и при совпадении действует так, как написано в хендбуке.
Dud вне форума   Вставить выделенное      Ответить с цитированием
Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

vB коды Вкл.
[IMG] код Вкл.
Быстрый переход





Предупреждение: Никакого детского порно в запросах и ссылках.
Любое упоминание детского порно в контексте будет пресекаться.


Часовой пояс GMT +4, серверное время: 05:50.