forum.opennet.ru - "Через ipfw не проходит ping" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Через ipfw не проходит ping"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Через ipfw не проходит ping"
Сообщение от Siberian_Cat (ok) on 06-Май-04, 13:00 (MSK)
Здравствуйте. У меня проблема какая-то с ipfw (а может и с головой). Ниже приведен реальный rc.firewall, с ним всё в порядке, интернет у пользователей есть, почта работает - короче, всё нормально. Но только почему-то от клиентов не проходят в мир пинги. Причём, если перед самым последним правилом файрвола поставить "allow from any to any", то пинги, естессно, начинают ходить, но иначе - никак. Может быть знает кто, какое я ещё правило не прописал в rc.firewall, а то пингаешь иной раз машинку, скажем, тот же яндекс, он говорит, что нету такой, а тут же набираешь в браузере www.yandex.ru и он махом прогружается, как, впрочем, и всё остальное. Посоветуйте что-нить, plz. ${fwcmd} -f flush ${fwcmd} -q add allow all from any to any via lo0 ${fwcmd} -q add deny all from any to 127.0.0.0/8 ${fwcmd} -q add deny ip from 127.0.0.0/8 to any ${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${fwcmd} -q add reject ip from 192.168.0.0/24 to any in via {внеш_интерфейс} ${fwcmd} -q add allow ip from any to any via ${внутр_интерфейс} ${fwcmd} -q add allow ip from 192.168.0.0/24 to any out xmit ${внеш_интерфейс} # на squid ${fwcmd} -q add forward 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http # на NAT ${fwcmd} -q add divert natd ip from 192.168.0.0/24 to any out via ${внеш_интерфейс} ${fwcmd} -q add divert natd ip from any to ${внеш_IP_адрес} in via ${внеш_интерфейс} ${fwcmd} -q add allow tcp from any to any 53 ${fwcmd} -q add allow tcp from any 53 to any ${fwcmd} -q add allow udp from any to any 53 ${fwcmd} -q add allow udp from any 53 to any ${fwcmd} -q add allow ip from any to 192.168.0.2 ${fwcmd} -q add allow tcp from any to 192.168.0.3 ${fwcmd} -q add allow tcp from any to 192.168.0.4 ${fwcmd} -q add allow tcp from any to 192.168.0.5 ${fwcmd} -q add check-state ${fwcmd} -q add deny tcp from any to any established ${fwcmd} -q add allow tcp from any to any setup keep-state ${fwcmd} -q add allow ip from ${внеш_интерфейс} to any out xmit ${внеш_интерфейс} ${fwcmd} -q add deny all from any to any Заранее thanx всем ответившим...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Через ipfw не проходит ping, togkskbr, 13:07 , 06-Май-04, (1)
Через ipfw не проходит ping, lavr, 13:14 , 06-Май-04, (2)
Через ipfw не проходит ping, Siberian_Cat, 13:28 , 06-Май-04, (3)
- Через ipfw не проходит ping, lavr, 14:04 , 06-Май-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Через ipfw не проходит ping"

Сообщение от togkskbr (??) on 06-Май-04, 13:07  (MSK)

>${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
-----------
после этого надо разрешить все остальные icmp
${fwcmd} -q add allow icmp from any to any
-----------
>
># на NAT
>${fwcmd} -q add divert natd ip from 192.168.0.0/24 to any out via
>${внеш_интерфейс}
>${fwcmd} -q add divert natd ip from any to ${внеш_IP_адрес} in via
>${внеш_интерфейс}
>
-----------
и еще строка после диверта
${fwcmd} -q add allow icmp from any to any
-----------

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Через ipfw не проходит ping"

Сообщение от lavr on 06-Май-04, 13:14  (MSK)

>Здравствуйте.
>
>У меня проблема какая-то с ipfw (а может и с головой).
>Ниже приведен реальный rc.firewall, с ним всё в порядке,
>интернет у пользователей есть, почта работает - короче, всё нормально. Но только
>почему-то от клиентов не проходят в мир пинги.
>Причём, если перед самым последним правилом файрвола поставить "allow from any to
>any", то пинги, естессно, начинают ходить, но иначе - никак.
>Может быть знает кто, какое я ещё правило не прописал в rc.firewall,
>
>а то пингаешь иной раз машинку, скажем, тот же яндекс, он говорит,
>что нету такой, а тут же набираешь в браузере www.yandex.ru и
>он махом прогружается, как, впрочем, и всё остальное.
>
>Посоветуйте что-нить, plz.
>
>${fwcmd} -f flush
>
>${fwcmd} -q add allow all from any to any via lo0
>${fwcmd} -q add deny all from any to 127.0.0.0/8
>${fwcmd} -q add deny ip from 127.0.0.0/8 to any
>
>${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
взял и зарезал icmp пакеты и еще плачет :(
http://ipfw.ism.kiev.ua/ - прочитай
>${fwcmd} -q add reject ip from 192.168.0.0/24 to any in via {внеш_интерфейс}
>
>
>${fwcmd} -q add allow ip from any to any via ${внутр_интерфейс}
>${fwcmd} -q add allow ip from 192.168.0.0/24 to any out xmit ${внеш_интерфейс}
>
>
># на squid
>${fwcmd} -q add forward 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http
>
># на NAT
>${fwcmd} -q add divert natd ip from 192.168.0.0/24 to any out via
>${внеш_интерфейс}
>${fwcmd} -q add divert natd ip from any to ${внеш_IP_адрес} in via
>${внеш_интерфейс}
>
>${fwcmd} -q add allow tcp from any to any 53
>${fwcmd} -q add allow tcp from any 53 to any
>${fwcmd} -q add allow udp from any to any 53
>${fwcmd} -q add allow udp from any 53 to any
>
>${fwcmd} -q add allow ip from any to 192.168.0.2
>${fwcmd} -q add allow tcp from any to 192.168.0.3
>${fwcmd} -q add allow tcp from any to 192.168.0.4
>${fwcmd} -q add allow tcp from any to 192.168.0.5
>
>${fwcmd} -q add check-state
>${fwcmd} -q add deny tcp from any to any established
>${fwcmd} -q add allow tcp from any to any setup keep-state
>
>${fwcmd} -q add allow ip from ${внеш_интерфейс} to any out xmit ${внеш_интерфейс}
>
>
>${fwcmd} -q add deny all from any to any
>
>
>Заранее thanx всем ответившим...
порядок правил зависит от того как задано в ядре: ВСЕ ОТКРЫТО или НЕТ
наличие: options         IPFIREWALL_DEFAULT_TO_ACCEPT   - все все открыто
by default, если убрать - то всем все закрыто

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Через ipfw не проходит ping"

Сообщение от Siberian_Cat (ok) on 06-Май-04, 13:28  (MSK)

За ответы спасибо, но это всё не помогло.
Специально даже взял сперва закомметировал строку
${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
и попробовал... Не вышло.
Потом вместо этого написал так (для проверки)
${fwcmd} -q add allow icmp from any to any
Тоже не помогло, всё по-прежнему.
Может дело не в icmp, а в чём-то ещё?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Через ipfw не проходит ping"

Сообщение от lavr on 06-Май-04, 14:04  (MSK)

>За ответы спасибо, но это всё не помогло.
>
>Специально даже взял сперва закомметировал строку
>${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>и попробовал... Не вышло.
>
>Потом вместо этого написал так (для проверки)
>${fwcmd} -q add allow icmp from any to any
>
>Тоже не помогло, всё по-прежнему.
>Может дело не в icmp, а в чём-то ещё?
для проверки оставь открытый firewall (не запускай свой скрипт)
man rc.conf
firewall_enable="YES"
firewall_type="open"
и посмотри результат, ну и
# sysctl -a | grep kern.securelevel
# man firewall

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Через ipfw не проходит ping"
Сообщение от togkskbr (??) on 06-Май-04, 13:07 (MSK)
>${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > ----------- после этого надо разрешить все остальные icmp ${fwcmd} -q add allow icmp from any to any ----------- > ># на NAT >${fwcmd} -q add divert natd ip from 192.168.0.0/24 to any out via >${внеш_интерфейс} >${fwcmd} -q add divert natd ip from any to ${внеш_IP_адрес} in via >${внеш_интерфейс} > ----------- и еще строка после диверта ${fwcmd} -q add allow icmp from any to any -----------
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Через ipfw не проходит ping"
Сообщение от lavr on 06-Май-04, 13:14 (MSK)
>Здравствуйте. > >У меня проблема какая-то с ipfw (а может и с головой). >Ниже приведен реальный rc.firewall, с ним всё в порядке, >интернет у пользователей есть, почта работает - короче, всё нормально. Но только >почему-то от клиентов не проходят в мир пинги. >Причём, если перед самым последним правилом файрвола поставить "allow from any to >any", то пинги, естессно, начинают ходить, но иначе - никак. >Может быть знает кто, какое я ещё правило не прописал в rc.firewall, > >а то пингаешь иной раз машинку, скажем, тот же яндекс, он говорит, >что нету такой, а тут же набираешь в браузере www.yandex.ru и >он махом прогружается, как, впрочем, и всё остальное. > >Посоветуйте что-нить, plz. > >${fwcmd} -f flush > >${fwcmd} -q add allow all from any to any via lo0 >${fwcmd} -q add deny all from any to 127.0.0.0/8 >${fwcmd} -q add deny ip from 127.0.0.0/8 to any > >${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 взял и зарезал icmp пакеты и еще плачет :( http://ipfw.ism.kiev.ua/ - прочитай >${fwcmd} -q add reject ip from 192.168.0.0/24 to any in via {внеш_интерфейс} > > >${fwcmd} -q add allow ip from any to any via ${внутр_интерфейс} >${fwcmd} -q add allow ip from 192.168.0.0/24 to any out xmit ${внеш_интерфейс} > > ># на squid >${fwcmd} -q add forward 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http > ># на NAT >${fwcmd} -q add divert natd ip from 192.168.0.0/24 to any out via >${внеш_интерфейс} >${fwcmd} -q add divert natd ip from any to ${внеш_IP_адрес} in via >${внеш_интерфейс} > >${fwcmd} -q add allow tcp from any to any 53 >${fwcmd} -q add allow tcp from any 53 to any >${fwcmd} -q add allow udp from any to any 53 >${fwcmd} -q add allow udp from any 53 to any > >${fwcmd} -q add allow ip from any to 192.168.0.2 >${fwcmd} -q add allow tcp from any to 192.168.0.3 >${fwcmd} -q add allow tcp from any to 192.168.0.4 >${fwcmd} -q add allow tcp from any to 192.168.0.5 > >${fwcmd} -q add check-state >${fwcmd} -q add deny tcp from any to any established >${fwcmd} -q add allow tcp from any to any setup keep-state > >${fwcmd} -q add allow ip from ${внеш_интерфейс} to any out xmit ${внеш_интерфейс} > > >${fwcmd} -q add deny all from any to any > > >Заранее thanx всем ответившим... порядок правил зависит от того как задано в ядре: ВСЕ ОТКРЫТО или НЕТ наличие: options IPFIREWALL_DEFAULT_TO_ACCEPT - все все открыто by default, если убрать - то всем все закрыто
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "Через ipfw не проходит ping"
Сообщение от Siberian_Cat (ok) on 06-Май-04, 13:28 (MSK)
За ответы спасибо, но это всё не помогло. Специально даже взял сперва закомметировал строку ${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 и попробовал... Не вышло. Потом вместо этого написал так (для проверки) ${fwcmd} -q add allow icmp from any to any Тоже не помогло, всё по-прежнему. Может дело не в icmp, а в чём-то ещё?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Через ipfw не проходит ping"
	Сообщение от lavr on 06-Май-04, 14:04 (MSK)
	>За ответы спасибо, но это всё не помогло. > >Специально даже взял сперва закомметировал строку >${fwcmd} -q add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >и попробовал... Не вышло. > >Потом вместо этого написал так (для проверки) >${fwcmd} -q add allow icmp from any to any > >Тоже не помогло, всё по-прежнему. >Может дело не в icmp, а в чём-то ещё? для проверки оставь открытый firewall (не запускай свой скрипт) man rc.conf firewall_enable="YES" firewall_type="open" и посмотри результат, ну и # sysctl -a \| grep kern.securelevel # man firewall
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх