Отправляет email-рассылки с помощью сервиса Sendsay

За 2004-04-02

Re: странность.

Здравствуй, Tema.

Friday, April 2, 2004, 8:10:05 PM, you wrote:
TZ> есть такая схема:
TZ> в файрволе прописано вот что:
TZ> ip="172.20.55.194"
TZ> net="172.20.55.0"
TZ> mask="255.255.255.0"
TZ> ${fwcmd} add allow all from ${ip} to any out
TZ> ${fwcmd} add allow all from any to ${ip} in
TZ> ${fwcmd} add pass all from ${net}:${mask} to any out
TZ> ${fwcmd} add pass all from any to ${net}:${mask} in

а Вы не хотите сделать это все на внешнем интерфейсе (имхо
у Вас это ppp0). Например
oif="ppp0"
${fwcmd} add pass all from ${net}:${mask} to any xmit ${oif}
${fwcmd} add pass all from any to ${net}:${mask} recv ${oif}

т.к. имхо дело в том, что входящий на внутреннем интерфейсе
пакет, на внешнем уже есть исходящий.
А вообще, если честно я не вижу смысла в таких правилах, т.к.
фактически они открывают всю внутреннюю сеть, как при
отсутсвии файрвола.
Если Вы хотите разрешить внутренним пользователям устанавилвать
соединения вовне, но запретить устанавливать соединения извне к
машинам внутри сети, используй established, как это делается в
стандартном rc.firewall. Например так
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass tcp from ${net}:${mask} to any setup
или используйте statefull firewall (правила keep-state/check-state).

-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru

http://subscribe.ru/ mailto:ask@subscribe.ru

   2004-04-02 23:28:05 (#117368)

странность.

Доброго времени суток, All.

есть такая схема:
сетка|---|сервер|---|какая-то кошка|---|прокси.

сервер - freebsd 4.9-rel-p1, между ним и кошкой модемная выделенка. модем -
zyx u336s.

проблема странная:
если в файрволе сервера не прописано allow all from any to any, то клиенты из

сетки не могут работать с прокси. странно то, что пинги до этой самой прокси

идут нормально, да и трейсы тоже.

в файрволе прописано вот что:
ip="172.20.55.194"
net="172.20.55.0"
mask="255.255.255.0"
${fwcmd} add allow all from ${ip} to any out
${fwcmd} add allow all from any to ${ip} in
${fwcmd} add pass all from ${net}:${mask} to any out
${fwcmd} add pass all from any to ${net}:${mask} in

NAT не используется.

вопрос - кто виноват и что делать?

   Tema Zelikin 2004-04-02 20:47:04 (#117283)