- порядок прохождения пакетов при one_pass 1 меняетсядиапазон адресов из блока 192, михалыч (ok), 05:13 , 31-Июл-17 (1)
- Да, спасибо за ответ Я знаю, что перекрывает, суть была в том, что бы дать 7 22, sasiska (ok), 09:40 , 31-Июл-17 (2)
- gt оверквотинг удален Прошу прощение, я забыл указать очень важную вещьпинг с , sasiska (ok), 09:56 , 31-Июл-17 (3)
>[оверквотинг удален] >> есть опечатки >> ${FwCMD} add deny ip from any to 10.0.0/8 in via ${LanOut} >> ${FwCMD} add deny ip from any to 10.0.0/8 in via ${LanOut2} > Да, спасибо за ответ. Я знаю, что перекрывает, суть была в том, > что бы дать 7.224-254 дать полный доступ в интернет > Я думал, что обработка идёт по порядку с первого правила к последнему, > и после НАТ-а у этих IP адресов стоит allow any > про 10.0.0/8, это когда-то мне было лень написать исключение для openvpn, который > у меня висит на 10.10.0.0 адресе, надо бы исправить, а то > я уже и забыл Прошу прощение, я забыл указать очень важную вещь пинг с тех IP адресов идёт и работает всё, кроме именно 80 и 443 портов, при том, что стоит allow all И если поставить заворачивание трафика с squid по 21 маске, то всё начинает работать
- ipfw list при one_pass 1 можно увидеть В начале правил всякие FwCMD add d, Дум Дум (?), 13:08 , 31-Июл-17 (4)
'ipfw list' при one_pass=1 можно увидеть? В начале правил всякие #${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}/${LanOut2} точно неактивны?
- Да, спасибо, точно не активны root gate sysctl net inet ip fw one_pass 1net , sasiska (ok), 21:28 , 31-Июл-17 (5)
> 'ipfw list' при one_pass=1 можно увидеть? В начале правил всякие #${FwCMD} add > deny ip from any to 192.168.0.0/16 in via ${LanOut}/${LanOut2} точно неактивны? Да, спасибо, точно не активны: root@gate:/ # sysctl net.inet.ip.fw.one_pass=1 net.inet.ip.fw.one_pass: 1 -> 1 root@gate:/ # ipfw list 00100 check-state 00200 allow ip from any to any via lo0 00300 deny ip from any to 127.0.0.0/8 00400 deny ip from 127.0.0.0/8 to any 00500 deny ip from any to xx.xx.xx.xx tcpflags !syn,!fin,!ack,rst 00600 deny ip from xx.xx.xx.xx to any tcpflags !syn,!fin,!ack,rst 00700 deny ip from any to xx.xx.xx.xx 00800 deny ip from xx.xx.xx.xx to any 00900 allow ip from any to 10.10.0.0/24 in via em1 01000 deny ip from any to 10.0.0.0/8 in via em1 01100 deny ip from any to 172.16.0.0/12 in via em1 01200 deny ip from any to 0.0.0.0/8 in via em1 01300 deny ip from any to 169.254.0.0/16 in via em1 01400 deny ip from any to 240.0.0.0/4 in via em1 01500 deny icmp from any to any frag 01600 deny icmp from any to 255.255.255.255 in via em1 01700 deny icmp from any to 255.255.255.255 out via em1 01800 deny ip from any to 10.0.0.0/8 in via em2 01900 deny ip from any to 172.16.0.0/12 in via em2 02000 deny ip from any to 0.0.0.0/8 in via em2 02100 deny ip from any to 169.254.0.0/16 in via em2 02200 deny ip from any to 240.0.0.0/4 in via em2 02300 deny icmp from any to 255.255.255.255 in via em2 02400 deny icmp from any to 255.255.255.255 out via em2 02500 deny tcp from any to 11.11.11.12 dst-port 22,80,10050,10051,3128,3129,3130,10000,139,445 via em1 02600 deny icmp from 11.11.11.1 to 192.168.12.4 via em2 02700 nat 1 ip4 from any to any via em1 02800 nat 2 ip4 from any to any via em2 02900 allow ip from any to any via em0 03000 queue 1 ip from any to 192.168.0.0/21 via em1 03100 queue 2 ip from 192.168.0.0/21 to any via em1 03200 queue 3 ip from any to 192.168.0.0/21 via em2 03300 queue 4 ip from 192.168.0.0/21 to any via em2 03400 allow ip from 192.168.7.224/27 to any 03500 allow ip from any to 192.168.7.224/27 03600 allow tcp from me to any out via em1 uid squid keep-state 03700 allow tcp from me to any out via em2 uid squid keep-state 03800 fwd 127.0.0.1,3129 tcp from 192.168.0.0/22 to any dst-port 80,8080 via em1 03900 fwd 127.0.0.1,3129 tcp from 192.168.0.0/22 to any dst-port 80,8080 via em2 04000 fwd 127.0.0.1,3127 tcp from 192.168.0.0/22 to any dst-port 443 via em1 04100 fwd 127.0.0.1,3127 tcp from 192.168.0.0/22 to any dst-port 443 via em2 04200 allow ip from any to any via tun0 04300 allow ip from any to me dst-port 1194 04400 allow ip from 192.168.11.0/24 to me 04500 allow ip from me to 192.168.11.0/24 04600 allow tcp from any to me dst-port 1701 setup keep-state 04700 allow ip from y.y.y.y to me 04800 allow ip from me to y.y.y.y 04900 allow ip from q.q.q.q to me 05000 allow ip from me to q.q.q.q 05100 allow ip from any to w.w.w.w 05200 allow ip from w.w.w.w to any 05300 allow ip from any to e.e.e.e 05400 allow ip from e.e.e.e to any 05500 allow ip from any to r.r.r.r 05600 allow ip from r.r.r.r to any 05700 allow ip from any 60179 to any dst-port 60179 05800 allow ip from any 60179 to any dst-port 60179 05900 allow ip from 192.168.0.40 to any 06000 allow ip from any to 192.168.0.40 06100 allow ip from any to t.t.t.t 06200 allow ip from t.t.t.t to any 06300 allow tcp from any to any established 06400 allow ip from any to any dst-port 9010 via em1 06500 allow ip from any 9010 to any via em1 06600 allow udp from any to any dst-port 53 via em1 06700 allow udp from any 53 to any via em1 06800 allow tcp from any to any dst-port 53 via em1 06900 allow udp from any to any dst-port 53 via em2 07000 allow udp from any 53 to any via em2 07100 allow tcp from any to any dst-port 53 via em2 07200 allow udp from any to any dst-port 123 via em1 07300 allow udp from any to any dst-port 123 via em2 07400 allow tcp from me 21,20 to any dst-port 21,20 via em1 07500 allow tcp from any 21,20 to me dst-port 21,20 via em1 07600 allow ip from any 20,21 to any dst-port 20,21 via em1 07700 allow tcp from any to y.y.y.y dst-port 50000-50100 via em1 07800 allow tcp from any to 192.168.12.4 dst-port 50000-50100 via em2 07900 allow icmp from any to any icmptypes 0,8,11 08000 allow tcp from any to y.y.y.y dst-port 25 via em1 08100 allow tcp from any to 192.168.12.4 dst-port 25 via em2 08200 allow udp from any 87 to any via em1 08300 allow udp from any to any dst-port 87 via em1 08400 allow udp from any 87 to any via em2 08500 allow udp from any to any dst-port 87 via em2 08600 allow tcp from any to any dst-port 1024 via em1 08700 allow tcp from any 1024 to any via em1 08800 allow tcp from any to any dst-port 1024 via em2 08900 allow tcp from any 1024 to any via em2 09000 allow tcp from any to any dst-port 9443 via em1 09100 allow tcp from any 9443 to any via em1 09200 allow tcp from any to any dst-port 9443 via em2 09300 allow tcp from any 9443 to any via em2 09400 allow tcp from any 8010 to any via em1 09500 allow tcp from any to any dst-port 8010 via em1 09600 allow tcp from any 8010 to any via em2 09700 allow tcp from any to any dst-port 8010 via em2 09800 allow tcp from any to y.y.y.y dst-port 143 via em1 09900 allow tcp from any to 192.168.12.4 dst-port 143 via em2 10000 allow tcp from 192.168.0.0/21 to 192.168.0.4 dst-port 110 via em0 10100 allow ip from 192.168.0.0/21 to 192.168.0.0/21 via em0 10200 allow udp from any to any via em0 10300 allow icmp from any to any via em0 10400 allow tcp from 192.168.0.0/21 to any dst-port 21,49000-65535 keep-state 10500 allow tcp from 192.168.0.0/21 to any dst-port 80,443,21,9443,3128,21,20,993,465,587,143,110,995,25,15100,2082,8443,443 in via em0 10600 allow tcp from any 80,443,21,9443,3128,993,465,587,143,110,995,25,15100,2082,8443,443 to 192.168.0.0/21 out via em0 10700 allow tcp from 192.168.0.0/21 to any dst-port 5190 in via em0 10800 allow tcp from any 5190 to 192.168.0.0/21 out via em0 10900 allow tcp from any 3389 to any via em0 11000 allow tcp from any to any dst-port 3389 via em0 11100 allow tcp from 192.168.0.0/21 to any dst-port 9091 in via em0 11200 allow tcp from any 9091 to 192.168.0.0/21 out via em0 11300 deny ip from any to any 65535 allow ip from any to any правило с номером 2500 включено, так как с ван-пассом на 1 часть пакетов, например 80, 3128 и перечисленные порты, видны из внешнего мира, поэтому пришлось закрыть их руками Когда выключаю one pass, то правило 2500 отключал И я не могу понять, почему если трафик загонять на прокси, то проблем нету, но если выпускать минуя squid, то проблемы есть.
- это any to any , при котором всё, вроде, работает, как хочется- это 02900 allow, Дум Дум (?), 14:11 , 01-Авг-17 (6)
>> если добавить allow ip from any to any, то всё начинает работатьэто "any to any", при котором всё, вроде, работает, как хочется- это: 02900 allow ip from any to any via em0?
- em0 - интерфейс внутренний сетиem1 - провайдер 1em2 - провайдер 2По умолчанию ра, sasiska (ok), 19:32 , 02-Авг-17 (7)
>>> если добавить allow ip from any to any, то всё начинает работать > это "any to any", при котором всё, вроде, работает, как хочется- это: > 02900 allow ip from any to any via em0?em0 - интерфейс внутренний сети em1 - провайдер 1 em2 - провайдер 2 По умолчанию разрешаю всему трафику проходить в внутренний интерфейс LanOut="em1" LanOut2="em2" LanIn="em0" LanVPN="tun0"
- и при такой конфигурации годов по 80, 443 портам напрямую всё-равно не пропускае, Дум Дум (?), 08:18 , 03-Авг-17 (8)
>> 02900 allow ip from any to any via em0? > По умолчанию разрешаю всему трафику проходить в внутренний интерфейс и при такой конфигурации годов по 80, 443 портам напрямую всё-равно не пропускает?
- Нет, в том то и дело, что не пропускает 02900 allow ip from any to any via em0пр, sasiska (ok), 21:57 , 07-Авг-17 (9)
>>> 02900 allow ip from any to any via em0? >> По умолчанию разрешаю всему трафику проходить в внутренний интерфейс > и при такой конфигурации годов по 80, 443 портам напрямую всё-равно не > пропускает?Нет, в том то и дело, что не пропускает: 02900 allow ip from any to any via em0 правило идёт после NAT-a но при этом, даже если в самом конце написать allow ip from any to any, то порт начинает работать Бог его знает в чём проблема
- вот жеж Может попробовать 11300 deny ip from any to any заменить на 11300 de, Дум Дум (?), 18:33 , 10-Авг-17 (10)
>>>> 02900 allow ip from any to any via em0? >>> По умолчанию разрешаю всему трафику проходить в внутренний интерфейс >> и при такой конфигурации годов по 80, 443 портам напрямую всё-равно не >> пропускает? > Нет, в том то и дело, что не пропускает: > 02900 allow ip from any to any via em0 > правило идёт после NAT-a > но при этом, даже если в самом конце написать allow ip from > any to any, то порт начинает работать > Бог его знает в чём проблема вот жеж... Может попробовать "11300 deny ip from any to any" заменить на: 11300 deny log ip from any to any via em0 11400 deny log ip from any to any via em1 11500 deny log ip from any to any via em2 и посмотреть?
- Думаете, это поможет , ishida (ok), 16:33 , 16-Авг-17 (11)
- gt оверквотинг удален С огромным опозданием я говорю спасибо, и действительно,, sasiska (ok), 22:38 , 03-Апр-19 (12)
>[оверквотинг удален] >> правило идёт после NAT-a >> но при этом, даже если в самом конце написать allow ip from >> any to any, то порт начинает работать >> Бог его знает в чём проблема > вот жеж... > Может попробовать "11300 deny ip from any to any" заменить на: > 11300 deny log ip from any to any via em0 > 11400 deny log ip from any to any via em1 > 11500 deny log ip from any to any via em2 > и посмотреть?С огромным опозданием я говорю спасибо, и действительно, не хватало правила после NAT: ${FwCMD} add allow ip from ${IpOut} to any ${FwCMD} add allow ip from ${IpOut2} to any
|