The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"freebsd ipfw imap"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"freebsd ipfw imap"  
Сообщение от kinesis (??) on 15-Сен-06, 15:01 
Прошу помощи!
Внитри сети нет возможности подключиться к imap серверам, с самого роутера могу попасть на 143 порт нормально.
правила такие:
fwcmd="/sbin/ipfw -q"
ournet="192.168.0.0/24"
uprefix="192.168.0"
ifout="an0"
ifuser="sis0"

# Reset all firewall rules
${fwcmd} -f flush

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ournet} to any http in via ${ifuser}

#FTP
${fwcmd} add allow tcp from any to me 20,21
${fwcmd} add allow tcp from any to me 49152-65535
${fwcmd} add allow all from me to any keep-state

${fwcmd} add divert natd all from any to any via ${ifout}

${fwcmd} add allow all from any to me
${fwcmd} add allow all from me to any

# Allow Internet for users in local network
${fwcmd} add allow all from ${ournet} to any
${fwcmd} add allow all from any to ${ournet}

не могу сообразить какое правило нужно поставить чтоб пользователи могли использовать imap.
Помогите советом.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

  • freebsd ipfw imap, Orlic, 15:21 , 15-Сен-06, (1)  
    • freebsd ipfw imap, kinesis, 15:27 , 15-Сен-06, (2)  
      • freebsd ipfw imap, Orlic, 15:39 , 15-Сен-06, (3)  
        • freebsd ipfw imap, kinesis, 16:22 , 15-Сен-06, (4)  
          • freebsd ipfw imap, Orlic, 16:49 , 15-Сен-06, (5)  

Сообщения по теме [Сортировка по времени, UBB]


1. "freebsd ipfw imap"  
Сообщение от Orlic email(??) on 15-Сен-06, 15:21 
>Прошу помощи!
>Внитри сети нет возможности подключиться к imap серверам, с самого роутера могу
>попасть на 143 порт нормально.
>правила такие:
>fwcmd="/sbin/ipfw -q"
>ournet="192.168.0.0/24"
>uprefix="192.168.0"
>ifout="an0"
>ifuser="sis0"
>
># Reset all firewall rules
>${fwcmd} -f flush
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ournet} to any http in via
>${ifuser}
>
>#FTP
>${fwcmd} add allow tcp from any to me 20,21
>${fwcmd} add allow tcp from any to me 49152-65535
>${fwcmd} add allow all from me to any keep-state
>
>${fwcmd} add divert natd all from any to any via ${ifout}
>
>${fwcmd} add allow all from any to me
>${fwcmd} add allow all from me to any
>
># Allow Internet for users in local network
>${fwcmd} add allow all from ${ournet} to any
>${fwcmd} add allow all from any to ${ournet}
>
>не могу сообразить какое правило нужно поставить чтоб пользователи могли использовать imap.
>
>Помогите советом.

imap-сервера где? СНАРУЖИ? тогда нужно транслировать адреса и разрешить выход наружу на 143 порт:

это правило до divert
${fwcmd} add allow  tcp from ${ournet} to any 143 in  via ${ifuser}
${fwcmd} add divert natd tcp from ${ournet} to any 143 out via ${ifout}
${fwcmd} add allow all from ${ournet} to any 143 out via ${ifout}

P.S. я придерживаюсь правила deny all feom any to any, потому разрешаю только то, что действительно нужно. А у Вас, как я вижу, достаточно "дырявые" правила.

P.S.S. от natd я отказался в пользу ipnat.

P.S.S.S. от ipfw и ipnat я тоже когда нибудь откажусб в пользу pf :-)


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "freebsd ipfw imap"  
Сообщение от kinesis (??) on 15-Сен-06, 15:27 
>imap-сервера где? СНАРУЖИ? тогда нужно транслировать адреса и разрешить выход наружу на
>143 порт:
>
>это правило до divert
>${fwcmd} add allow  tcp from ${ournet} to any 143 in  
>via ${ifuser}
>${fwcmd} add divert natd tcp from ${ournet} to any 143 out via
>${ifout}
>${fwcmd} add allow all from ${ournet} to any 143 out via ${ifout}
>
>
>P.S. я придерживаюсь правила deny all feom any to any, потому разрешаю
>только то, что действительно нужно. А у Вас, как я вижу,
>достаточно "дырявые" правила.
>
>P.S.S. от natd я отказался в пользу ipnat.
>
>P.S.S.S. от ipfw и ipnat я тоже когда нибудь откажусб в пользу
>pf :-)

Да, сервера снаружи, конкретно нужен mail.mac.com на него пользователь не могут попасть (imap)

куда конкретно эти правила надо ставить в моем случае?

ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet} imap setup
после natd, и смог с клиентского компа попасть телнетом на 143 порт mail.mac.com
но на Macintosh машине почему-то телнетом не могу попасть, а именно на нем это все и надо сделать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "freebsd ipfw imap"  
Сообщение от Orlic email(??) on 15-Сен-06, 15:39 
>ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet}
>imap setup
насколько понял это правило, Вы разрешаете доступ снаружи к Вашей ЛВС на порт imap... Зачем? я так понимаю, что пакетики на mail.mac.com порт imap уходят по другому правилу.
>после natd, и смог с клиентского компа попасть телнетом на 143 порт
>mail.mac.com
>но на Macintosh машине почему-то телнетом не могу попасть, а именно на
>нем это все и надо сделать.

попробуйте в правила после allow и divert добавить log logamount 1000, и запустите tcpdump на внутреннем интерфейсе:
tcpdump -ni sis0 port 143
и в другой консоли для внешнего:
tcpdump -ni an0 port 143

и посмотрите, куда идут пакетики, когда они транслируются и как приходят ответы.
И полезну посмотреть тут: http://www.bsdforums.org/forums/showthread.php?t=43858


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "freebsd ipfw imap"  
Сообщение от kinesis (??) on 15-Сен-06, 16:22 
>>ps. сейчас поставил правило ${fwcmd} add allow all from any to ${ournet}

>попробуйте в правила после allow и divert добавить log logamount 1000, и
>запустите tcpdump на внутреннем интерфейсе:
>tcpdump -ni sis0 port 143
>и в другой консоли для внешнего:
>tcpdump -ni an0 port 143
>
>и посмотрите, куда идут пакетики, когда они транслируются и как приходят ответы.
>
>И полезну посмотреть тут: http://www.bsdforums.org/forums/showthread.php?t=43858


medusafilms# tcpdump -ni sis0 port 143
tcpdump: listening on sis0
16:20:48.759128 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323                                                                              9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325354 0> (DF) [tos                                                                               0x10]
16:20:51.445061 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323                                                                              9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325359 0> (DF) [tos                                                                               0x10]
16:20:54.446094 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323                                                                              9(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325365 0> (DF) [tos                                                                               0x10]
16:20:57.446395 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323                                                                              9(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:00.643884 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:116245323                                                                              9(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:03.615065 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:09.451008 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:21:21.453893 192.168.0.105.49824 > 17.250.248.152.143: S 1162453239:1162453239(0) win 65535 <mss 1460> (DF) [tos 0x10]

medusafilms# tcpdump -ni an0 port 143
tcpdump: listening on an0
16:22:11.809733 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325520 0> (DF) [tos 0x10]
16:22:14.469732 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325525 0> (DF) [tos 0x10]
16:22:16.068000 17.250.248.152.143 > 81.13.95.34.49825: S 1753257251:1753257251(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619193 1700325525,mss 1460,nop,wscale 0> (DF)
16:22:16.068110 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:16.069172 17.250.248.152.143 > 81.13.95.34.49825: S 1753257251:1753257251(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619249 1700325525,mss 1460,nop,wscale 0> (DF)
16:22:16.069260 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:17.891336 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460,nop,wscale 0,nop,nop,timestamp 1700325531 0> (DF) [tos 0x10]
16:22:19.663165 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619490 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:19.663282 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:19.665418 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619546 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:19.665529 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:20.421797 17.250.248.152.143 > 81.13.95.34.49825: S 1761139646:1761139646(0) ack 4201683294 win 33304 <nop,nop,timestamp 962619658 1700325531,mss 1460,nop,wscale 0> (DF)
16:22:20.762619 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:20.762794 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:22:21.822315 17.250.248.152.143 > 81.13.95.34.49825: S 1767347370:1767347370(0) ack 4201683294 win 33580 <mss 1460> (DF)
16:22:21.822433 81.13.95.34.49825 > 17.250.248.152.143: R 4201683294:4201683294(0) win 0 (DF)
16:22:23.966766 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]
16:22:26.581076 81.13.95.34.49825 > 17.250.248.152.143: S 4201683293:4201683293(0) win 65535 <mss 1460> (DF) [tos 0x10]


как со всем этим разобраться нет никакого понятия.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "freebsd ipfw imap"  
Сообщение от Orlic email(??) on 15-Сен-06, 16:49 

>как со всем этим разобраться нет никакого понятия.

man 8 tcpdump для начала

В общих чертах... Это все заголовки пакетов между твоим хостом 192.168.0.105 и внутренним интерфейсом как транзит на 17.250.248.152:143 mail.mac.com... На внешнем интерфейсе у тебя уже транслиованный адрес 192.168.0.105->81.13.95.34 (твой внешний ip)... Далее пакету идут куда надо, то есть на 17.250.248.152:143 (еще бы, у Вас же allow all from any to any почти;-)...
Судя по строке
16:22:21.822315 17.250.248.152.143 > 81.13.95.34.49825: S 1767347370:1767347370(0) ack 4201683294 win 33580 <mss 1460> (DF)
ответы от mail.mac.com приходят на ваш внешний интерфейс. А вот обратно они не транслируются, почему то, так как в дампе на внутреннем интерфейсе видны только пакеты туда (хотя, во времени, этого не видно, так как дамп закончен в 16-21-21, а ответ пришел 16-22-16)...
предлагаюпересмотреть правила ipfw, его логи. Для тестирования добавить опцию log

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру