forum.opennet.ru - "ipfw + nat + mail.ru" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw + nat + mail.ru"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw + nat + mail.ru"
Сообщение от jant (??) on 19-Июн-07, 22:29
Помогите, плз, настроил ipfw + nat под ФриБСД, но не получается разрешить работу почтового клиента с серверами мейл.ру :( что то нужно ещё доразрешить, но не пойму что, ставил в конец правило: 05600 deny log logamount 100 ip from any to any но там ничего не видно, научите, пожалуйста
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

ipfw + nat + mail.ru, A Clockwork Orange, 08:36 , 20-Июн-07, (1)

ipfw + nat + mail.ru, jant, 19:48 , 20-Июн-07, (2)

ipfw + nat + mail.ru, kerilka, 13:35 , 21-Июн-07, (3)

ipfw + nat + mail.ru, jant, 17:55 , 21-Июн-07, (4)

ipfw + nat + mail.ru, kerilka, 18:34 , 21-Июн-07, (5)

ipfw + nat + mail.ru, jant, 19:58 , 21-Июн-07, (6)

ipfw + nat + mail.ru, kerilka, 10:35 , 22-Июн-07, (7)

ipfw + nat + mail.ru, jant, 19:44 , 22-Июн-07, (8)

ipfw + nat + mail.ru, jant, 20:18 , 22-Июн-07, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw + nat + mail.ru"

Сообщение от A Clockwork Orange on 20-Июн-07, 08:36

покажи все что у тебя есть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw + nat + mail.ru"

Сообщение от jant (??) on 20-Июн-07, 19:48

спасибо за отклик, всё ещё не поборол
мне нужно, чтобы с 192.168.0.5 получилось проверить почту с pop.mail.ru, но не могу понять где застряёт запрос (
логи не показывают, денаев у меня вроде нет (
Вот моё хозяйство:
00090 divert 8668 ip from 192.168.0.0/27 to any out xmit rl2
00095 divert 8668 ip from any to 213.186.221.84
00100 count ip from any to 213.186.221.84
00200 count ip from 213.186.221.84 to any
00300 allow ip from any to any via lo0
00400 allow icmp from any to any via lo0
00500 allow ip from 192.168.0.0/27 to 192.168.0.0/27
00600 allow ip from any to 192.168.0.5
00700 allow ip from 192.168.0.5 to any
00800 allow ip from any to 192.168.0.28
00900 allow ip from 192.168.0.28 to any
01000 allow ip from any to 192.168.0.7
01100 allow ip from 192.168.0.7 to any
01200 allow ip from any to 192.168.0.30
01300 allow ip from 192.168.0.30 to any
01400 allow tcp from 213.186.221.84 25 to any
01500 allow tcp from any 25 to 213.186.221.84
01600 allow udp from 213.186.221.84 25 to any
01700 allow udp from any 25 to 213.186.221.84
01800 allow tcp from 213.186.221.84 to any dst-port 25
01900 allow tcp from any to 213.186.221.84 dst-port 25
02000 allow udp from 213.186.221.84 to any dst-port 25
02100 allow udp from any to 213.186.221.84 dst-port 25
02200 allow tcp from 213.186.221.84 to any dst-port 23,80,81,8080,8101
02300 allow tcp from any 23,80,81,8080,8101 to 213.186.221.84
02400 allow icmp from any to 213.186.221.32/28
02500 allow icmp from 213.186.221.32/28 to any
02600 allow tcp from any to 213.186.221.84 dst-port 113
02700 allow tcp from 213.186.221.84 to any dst-port 113
02800 allow tcp from any 113 to 213.186.221.84
02900 allow tcp from 213.186.221.84 113 to any
03000 allow udp from any to any dst-port 53
03100 allow udp from any 53 to any
03200 allow tcp from any to any dst-port 53
03300 allow tcp from any 53 to any
03400 allow udp from any to any dst-port 20,21
03500 allow udp from any 20,21 to any
03600 allow tcp from any to any dst-port 20,21
03700 allow tcp from any 20,21 to any
03800 allow tcp from any 22 to any
03900 allow tcp from any to any dst-port 22
04000 allow tcp from any to 213.186.221.84 dst-port 80
04100 allow tcp from 213.186.221.84 80 to any
04200 allow udp from any to 213.186.221.84 dst-port 80
04300 allow udp from 213.186.221.84 80 to any
04400 allow udp from any to any dst-port 443
04500 allow udp from any 443 to any
04600 allow tcp from any to any dst-port 443
04700 allow tcp from any 443 to any
04800 allow udp from any to any dst-port 590
04900 allow udp from any 590 to any
05000 allow tcp from any to any dst-port 590
05100 allow tcp from any 590 to any
05200 allow tcp from 213.186.221.84 1025-65535 to any dst-port 1025-65535
05300 allow tcp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535
05400 allow udp from 213.186.221.84 1025-65535 to any dst-port 1025-65535
05500 allow udp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535
05600 deny log logamount 100 ip from any to any
65535 deny ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw + nat + mail.ru"

Сообщение от kerilka on 21-Июн-07, 13:35

cat /etc/natd.conf ?
cat /etc/rc.conf | grep natd ?
ifconfig ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw + nat + mail.ru"

Сообщение от jant (??) on 21-Июн-07, 17:55

>cat /etc/natd.conf ?
>cat /etc/rc.conf | grep natd ?
>ifconfig ?
cпасибо за отклик, пока не поборолся
дело в том, что нат работает и когда все эти правила заменяем firewall_type=open, то всё в порядке
# less natd.conf
same_ports yes
use_sockets yes

#less rc.conf
sshd_enable="YES"
inetd_enable="YES"
sendmail_enable="YES"
sendmail_flags="-bd -q30m"
ifconfig_rl1_alias0="inet 192.168.0.1/27"
ifconfig_rl2="inet 213.186.221.84/30"
defaultrouter="213.186.221.85"
hostname="imedia"
named_enable="YES"
#named_flags="-u bind -g bind"
firewall_enable="YES"
#firewall_type="open"
firewall_type="imedia"
natd_enable="YES"
# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:02:44:8f:e3:2e
        media: Ethernet autoselect (none)
        status: no carrier
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.0.1 netmask 0xffffffe0 broadcast 192.168.0.31
        ether 00:80:48:1f:d0:5c
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 213.186.221.84 netmask 0xfffffffc broadcast 213.186.221.39
        ether 00:0b:6a:67:b3:87
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ipfw + nat + mail.ru"

Сообщение от kerilka on 21-Июн-07, 18:34

natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="em0"
natd_flags="-f /etc/natd.conf"
это у меня в rc.conf по нату. насколько я знаю нужно указывать интерфейс на котором висит инет (в моем случае em0)
второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow all from any to any - будет ли такая схема работать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "ipfw + nat + mail.ru"

Сообщение от jant (??) on 21-Июн-07, 19:58

спасибо - немного приблизились
>второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow
>all from any to any - будет ли такая схема работать?
да, так работает, если убрать 05600
05600 deny log logamount 100 ip from any to any
65499 allow ip from any to any
65535 deny ip from any to any
хорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не появляется ?!!! как же узнать, куда оно стучится ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "ipfw + nat + mail.ru"

Сообщение от kerilka on 22-Июн-07, 10:35

>спасибо - немного приблизились
>
>>второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow
>>all from any to any - будет ли такая схема работать?
>
>да, так работает, если убрать 05600
>
>05600 deny log logamount 100 ip from any to any
>65499 allow ip from any to any
>65535 deny ip from any to any
>
>хорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не
>появляется ?!!! как же узнать, куда оно стучится ?
насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать IPFIREWALL_VERBOSE, это включение лога для ipfw

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "ipfw + nat + mail.ru"

Сообщение от jant (??) on 22-Июн-07, 19:44

>насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать
>IPFIREWALL_VERBOSE, это включение лога для ipfw
Да, это всё включено, вот почему оно не фиксирует этот запрос, хотя именно здесь всё и рубится?
дело  именно в настройках файрвола - что-то нужно открыть, а что, я ни как не пойму :(:(:(
спасибо, но пока не поборол

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "ipfw + nat + mail.ru"

Сообщение от jant (??) on 22-Июн-07, 20:18

Значит, вот такие правила помогли:
allow ip from any to 194.67.23.102 dst-port 110
allow ip from 194.67.23.102 110 to any
194.67.23.102 - это поп.мейл.ру
причём, если вместо "any" указывать любой адрес - локальный или реальный, сеть, подсеть - Не помагает, почему-то только так :(
вообще-то это не хорошо - причём здесь "any"
????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw + nat + mail.ru"
Сообщение от A Clockwork Orange on 20-Июн-07, 08:36
покажи все что у тебя есть
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ipfw + nat + mail.ru"
	Сообщение от jant (??) on 20-Июн-07, 19:48
	спасибо за отклик, всё ещё не поборол мне нужно, чтобы с 192.168.0.5 получилось проверить почту с pop.mail.ru, но не могу понять где застряёт запрос ( логи не показывают, денаев у меня вроде нет ( Вот моё хозяйство: 00090 divert 8668 ip from 192.168.0.0/27 to any out xmit rl2 00095 divert 8668 ip from any to 213.186.221.84 00100 count ip from any to 213.186.221.84 00200 count ip from 213.186.221.84 to any 00300 allow ip from any to any via lo0 00400 allow icmp from any to any via lo0 00500 allow ip from 192.168.0.0/27 to 192.168.0.0/27 00600 allow ip from any to 192.168.0.5 00700 allow ip from 192.168.0.5 to any 00800 allow ip from any to 192.168.0.28 00900 allow ip from 192.168.0.28 to any 01000 allow ip from any to 192.168.0.7 01100 allow ip from 192.168.0.7 to any 01200 allow ip from any to 192.168.0.30 01300 allow ip from 192.168.0.30 to any 01400 allow tcp from 213.186.221.84 25 to any 01500 allow tcp from any 25 to 213.186.221.84 01600 allow udp from 213.186.221.84 25 to any 01700 allow udp from any 25 to 213.186.221.84 01800 allow tcp from 213.186.221.84 to any dst-port 25 01900 allow tcp from any to 213.186.221.84 dst-port 25 02000 allow udp from 213.186.221.84 to any dst-port 25 02100 allow udp from any to 213.186.221.84 dst-port 25 02200 allow tcp from 213.186.221.84 to any dst-port 23,80,81,8080,8101 02300 allow tcp from any 23,80,81,8080,8101 to 213.186.221.84 02400 allow icmp from any to 213.186.221.32/28 02500 allow icmp from 213.186.221.32/28 to any 02600 allow tcp from any to 213.186.221.84 dst-port 113 02700 allow tcp from 213.186.221.84 to any dst-port 113 02800 allow tcp from any 113 to 213.186.221.84 02900 allow tcp from 213.186.221.84 113 to any 03000 allow udp from any to any dst-port 53 03100 allow udp from any 53 to any 03200 allow tcp from any to any dst-port 53 03300 allow tcp from any 53 to any 03400 allow udp from any to any dst-port 20,21 03500 allow udp from any 20,21 to any 03600 allow tcp from any to any dst-port 20,21 03700 allow tcp from any 20,21 to any 03800 allow tcp from any 22 to any 03900 allow tcp from any to any dst-port 22 04000 allow tcp from any to 213.186.221.84 dst-port 80 04100 allow tcp from 213.186.221.84 80 to any 04200 allow udp from any to 213.186.221.84 dst-port 80 04300 allow udp from 213.186.221.84 80 to any 04400 allow udp from any to any dst-port 443 04500 allow udp from any 443 to any 04600 allow tcp from any to any dst-port 443 04700 allow tcp from any 443 to any 04800 allow udp from any to any dst-port 590 04900 allow udp from any 590 to any 05000 allow tcp from any to any dst-port 590 05100 allow tcp from any 590 to any 05200 allow tcp from 213.186.221.84 1025-65535 to any dst-port 1025-65535 05300 allow tcp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535 05400 allow udp from 213.186.221.84 1025-65535 to any dst-port 1025-65535 05500 allow udp from any 1025-65535 to 213.186.221.84 dst-port 1025-65535 05600 deny log logamount 100 ip from any to any 65535 deny ip from any to any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ipfw + nat + mail.ru"
	Сообщение от kerilka on 21-Июн-07, 13:35
	cat /etc/natd.conf ? cat /etc/rc.conf \| grep natd ? ifconfig ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "ipfw + nat + mail.ru"
	Сообщение от jant (??) on 21-Июн-07, 17:55
	>cat /etc/natd.conf ? >cat /etc/rc.conf \| grep natd ? >ifconfig ? cпасибо за отклик, пока не поборолся дело в том, что нат работает и когда все эти правила заменяем firewall_type=open, то всё в порядке # less natd.conf same_ports yes use_sockets yes #less rc.conf sshd_enable="YES" inetd_enable="YES" sendmail_enable="YES" sendmail_flags="-bd -q30m" ifconfig_rl1_alias0="inet 192.168.0.1/27" ifconfig_rl2="inet 213.186.221.84/30" defaultrouter="213.186.221.85" hostname="imedia" named_enable="YES" #named_flags="-u bind -g bind" firewall_enable="YES" #firewall_type="open" firewall_type="imedia" natd_enable="YES" # ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255 ether 00:02:44:8f:e3:2e media: Ethernet autoselect (none) status: no carrier rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet 192.168.0.1 netmask 0xffffffe0 broadcast 192.168.0.31 ether 00:80:48:1f:d0:5c media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet 213.186.221.84 netmask 0xfffffffc broadcast 213.186.221.39 ether 00:0b:6a:67:b3:87 media: Ethernet autoselect (100baseTX <full-duplex>) status: active
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "ipfw + nat + mail.ru"
	Сообщение от kerilka on 21-Июн-07, 18:34
	natd_program="/sbin/natd" natd_enable="YES" natd_interface="em0" natd_flags="-f /etc/natd.conf" это у меня в rc.conf по нату. насколько я знаю нужно указывать интерфейс на котором висит инет (в моем случае em0) второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow all from any to any - будет ли такая схема работать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "ipfw + nat + mail.ru"
	Сообщение от jant (??) on 21-Июн-07, 19:58
	спасибо - немного приблизились >второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow >all from any to any - будет ли такая схема работать? да, так работает, если убрать 05600 05600 deny log logamount 100 ip from any to any 65499 allow ip from any to any 65535 deny ip from any to any хорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не появляется ?!!! как же узнать, куда оно стучится ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "ipfw + nat + mail.ru"
	Сообщение от kerilka on 22-Июн-07, 10:35
	>спасибо - немного приблизились > >>второе - если firewall_type=open работает, то пропишите правило ipfw add 65499 allow >>all from any to any - будет ли такая схема работать? > >да, так работает, если убрать 05600 > >05600 deny log logamount 100 ip from any to any >65499 allow ip from any to any >65535 deny ip from any to any > >хорошо, если это правило(5600) блокирует наши запросы, почему в /var/log/security ничего не >появляется ?!!! как же узнать, куда оно стучится ? насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать IPFIREWALL_VERBOSE, это включение лога для ipfw
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "ipfw + nat + mail.ru"
	Сообщение от jant (??) on 22-Июн-07, 19:44
	>насколько я помню (хотя могу и ошибаться), в конфе ядра необходимо вписать >IPFIREWALL_VERBOSE, это включение лога для ipfw Да, это всё включено, вот почему оно не фиксирует этот запрос, хотя именно здесь всё и рубится? дело именно в настройках файрвола - что-то нужно открыть, а что, я ни как не пойму :(:(:( спасибо, но пока не поборол
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "ipfw + nat + mail.ru"
Сообщение от jant (??) on 22-Июн-07, 20:18
Значит, вот такие правила помогли: allow ip from any to 194.67.23.102 dst-port 110 allow ip from 194.67.23.102 110 to any 194.67.23.102 - это поп.мейл.ру причём, если вместо "any" указывать любой адрес - локальный или реальный, сеть, подсеть - Не помагает, почему-то только так :( вообще-то это не хорошо - причём здесь "any" ????
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]