nixp.ru v3.0

16 января 2017,
понедельник,
22:26:57 MSK

Аутсорсинг Linux с компанией «Флант»
Victor3D написал 11 июня 2006 года в 14:31 (340 просмотров) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 1 комментарий на сайте.

Привет!!1 Установил эту систему и хочу использовать в качестве роутера. В интернете нашел какие-то типовые конфиги но они не работали как надо… Пожалуйста помогите!! Напишите скрипт который будет работать для фаерволла ipf.

Что нужно:

1. NAT (локальная сеть — ne0, интернет — xl0)

2. со стороны локалки все порты открыты

3. в локалке айпишники 192.168.1.x, в инете — айпи роутера 10.10.29.138

4. со стороны инета, должны быть открыт порт 80 (и напишите как сделать если захочу ещё чего-то открыть)

Ну вроде все!!! Заранее спасибо!!!

Genie

в такой постановке вопроса — это в «помощь за денежки».. ;)

в общем, ты лучше расскажи, что конкретно ты пробовал, а уж там дальше будет видно, что и как ты где сделал неправильно.

Victor3D

я использовал такой скрипт: (это модификация стандартного скрипта pf-dual.conf — с какого-то сайта, модифицированная под меня:

#

#

# WAN LAN

# | |

# | |

# +-ne0————xl0-+

# | router |

# +——————-+

# Внешние и внутренний интерфейсы.

#

ext_if_a = «ne0»

int_if = «xl0»

# Шлюзы для каналов.

#

ext_gw_a = «10.10.29.138»

# TCP/UDP сервисы, обслуживаемые маршрутизатором.

#

tcp_svc = «ssh smtp domain»

udp_svc = «domain»

# Выполнить нормализацию всех пакетов.

#

scrub in

# Транслировать внутренние адреса в (основной) адрес внешнего интерфейса.

#

nat on $ext_if_a from !(self) -> ($ext_if_a:0)

# Пропустить FTP через transparent FTP proxy.

#

rdr on $int_if proto tcp to !(self) port ftp -> 127.0.0.1 port 8021

# Защита от IP spoofing.

#

pass quick on { lo $int_if }

antispoof quick for { lo $int_if }

# По умолчанию блокировать входящий трафик на внешних интерфейсах.

# Для TCP соединений возвращать RST.

#

block in on { $ext_if_a }

block return-rst in on { $ext_if_a } proto tcp

# Направить исходящие пакеты в канал, соответствующий адресу источника.

#

pass out route-to ($ext_if_a $ext_gw_a) from ($ext_if_a) to !(self:network) \

keep state

# Установить маршрут для ответа на входящие пакеты для переадресованных

# TCP сервисов.

#

pass in reply-to ($ext_if_a $ext_gw_a) proto tcp flags S/SA tagged EXT_IF_A \

keep state

# Разрешить входящие ICMP ping пакеты, обслуживаемые UDP и TCP сервисы.

#

pass in on $ext_if_a reply-to ($ext_if_a $ext_gw_a) inet proto icmp \

icmp-type echoreq code 0 keep state

pass in on $ext_if_a inet proto icmp from ($ext_if_a:network) \

icmp-type echoreq code 0 keep state

pass in on $ext_if_a reply-to ($ext_if_a $ext_gw_a) proto udp \

to port { $udp_svc } keep state

pass in on $ext_if_a proto udp from ($ext_if_a:network) to port { $udp_svc } \

keep state

pass in on $ext_if_a reply-to ($ext_if_a $ext_gw_a) proto tcp \

to port { $tcp_svc } flags S/SA keep state

pass in on $ext_if_a proto tcp from ($ext_if_a:network) to port { $tcp_svc } \

flags S/SA keep state

# Разрешить входящие TCP соединения для FTP proxy.

#

pass in on $ext_if_a reply-to ($ext_if_a $ext_gw_a) proto tcp \

to port > 49151 flags S/SA user proxy keep state

pass in on $ext_if_a proto tcp from ($ext_if_a:network) to port > 49151 \

flags S/SA user proxy keep state

——————-

увы, после запуска его (перезагрузив комп) — перестает работать инет вообще — даже через links, при том что раньше работал (PF=on включено). И нат тоже не работает…. хз, что делать…. :-O

Может, здесь есть ошибки?

Как включить сервисы я почти понимаю: наверно надо сюда добавить номер порта, например так — tcp_svc = «ssh smtp domain 80 21"?

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.