Настройка шлюза на FreeBSD 7.3

[Infernal Flame]

так это было после применения правил или до?

# traceroute 77.235.23.90

traceroute to 77.235.23.90 (77.235.23.90), 64 hops max, 40 byte packets
1 77-235-16-105.mega.kg (77.235.16.105) 4.232 ms 3.433 ms 3.821 ms
2 * * *
3 * * *

строчки пугают... хотя мож я чего не понимаю в ИПФВ

Код: Выделить всё

${IPFW} add deny log icmp from any to 255.255.255.255 in via ${EXT}
${IPFW} add deny log icmp from any to 255.255.255.255 out via ${EXT}

Код: Выделить всё

${IPFW} add fwd 127.0.0.1:3129 tcp from ${LAN}/${MSK} to any 21,80,443 via
${EXT}

а почему на локалхост а не на внутренний ИП?

Код: Выделить всё

${IPFW} add deny ip from 192.168.0.0/16 to any out via ${EXT}

тоже хп зачем

[Raven]

${IPFW} add deny log icmp from any to 255.255.255.255 in via ${EXT}${IPFW} add deny log icmp from any to 255.255.255.255 out via ${EXT}

Это рубит мультикаст на внешней морде

${IPFW} add fwd 127.0.0.1:3129 tcp from ${LAN}/${MSK} to any 21,80,443 via${EXT}
а почему на локалхост а не на внутренний ИП?

а на кой засорять катрочку?

${IPFW} add deny ip from 192.168.0.0/16 to any out via ${EXT}

рубит частные сети. Только вот... топикстартер не туда его разместил - надо предпоследним.

[Infernal Flame]

а на кой засорять катрочку?

ну видимо ИПФВ работает как-то хытро

[Raven]

Infernal Flame
Наоборот, после IPT это такое облегчение! Только вот нат у его черезжопный - не особо понятно что куда. Поэтому и юзаем natd )))

[zaka]

Все найс шлюз заработал
Низкий поклон Raven’у за помощь
вот правила

Код: Выделить всё

$ cat /etc/ipfw
#!/bin/sh
#peremenie
IPFW="/sbin/ipfw"
EXT="rl0" #vneshni interfeis
INT="rl1" #Vnutrenyi interfeis
EXT_IP="XX.XXX.XX.XXX" #vneshii Ip
INT_IP="192.168.0.XX" #vnutrenii IP
LAN="192.168.0.0" #localka
MSK="24" #maska pod seti
${IPFW} -f flush
${IPFW} -f pipe flush
${IPFW} -f queue flush
${IPFW} add check-state

${IPFW} add allow ip from any to any via lo0
${IPFW} add deny ip from any to 127.0.0.0/8
${IPFW} add deny ip from 127.0.0.0/8 to any

${IPFW} add deny ip from any to 10.0.0.0/8 in via ${EXT}
${IPFW} add deny ip from any to 172.16.0.0/12 in via ${EXT}
${IPFW} add deny ip from any to 192.168.0.0/16 in via ${EXT}
${IPFW} add deny ip from any to 0.0.0.0/8 in via ${EXT}
${IPFW} add deny ip from any to 169.254.0.0/16 in via ${EXT}
${IPFW} add deny ip from any to 240.0.0.0/4 in via ${EXT}
${IPFW} add deny icmp from any to any frag
${IPFW} add deny log icmp from any to 255.255.255.255 in via ${EXT}
${IPFW} add deny  icmp from any to 255.255.255.255 out via ${EXT}

${IPFW} add fwd 127.0.0.1:3129 tcp from ${LAN}/${LAN_MSK} to any 80,21,443,444 via
${EXT}
${IPFW} add divert natd ip from ${LAN}/${LAN_MSK} to any out via ${EXT}
${IPFW} add divert natd ip from any to ${EXT_IP} in via ${EXT}


${IPFW} add deny log ip from 10.0.0.0/8 to any out via ${EXT}
${IPFW} add deny ip from 172.16.0.0/12 to any out via ${EXT}
${IPFW} add deny ip from 192.168.0.0/16 to any out via ${EXT}
${IPFW} add deny ip from 0.0.0.0/8 to any out via ${EXT}
${IPFW} add deny ip from 169.254.0.0/16 to any out via ${EXT}
${IPFW} add deny ip from 224.0.0.0/4 to any out via ${EXT}
${IPFW} add deny ip from 240.0.0.0/4 to any out via ${EXT}

${IPFW} add allow tcp from any to any established
${IPFW} add allow all from any to any 5190 via ${EXT}
${IPFW} add allow all from any 5190 to any via ${EXT}
${IPFW} add allow udp from any 53 to any via ${EXT}
${IPFW} add allow udp from any to any 53 via ${EXT}
${IPFW} add allow tcp from any 53 to any via ${EXT}
${IPFW} add allow tcp from any to any 53 via ${EXT}
${IPFW} add allow icmp from any to any icmptypes 0,8,11
${IPFW} add allow gre from any to any

${IPFW} add allow log ip from ${EXT_IP} to any 21,80 out xmit ${EXT}

${IPFW} add allow tcp from any to any via ${INT}
${IPFW} add allow udp from any to any via ${INT}
${IPFW} add allow icmp from any to any via ${INT}
${IPFW} add deny log all from any to any

[Infernal Flame]

во! теперь и я в них что-то понимать стал