https://mobile.opennet.me/openforum/vsluhforumID1/91712.html Доброго всем.<br>Имеется 7.3.<br>Хочу сделать ее открытой только для нескольких ip.<br><br>#!/bin/sh<br>fw="/sbin/ipfw -q "<br>$fw -f flush<br>$fw add check-state<br>$fw -f pipe flush<br>$fw -f queue flush<br>IIF="ng0"<br>NatIP="2.2.2.2"<br>LanOut="rl0"<br>LanIn="rl1"<br>LanIp="192.168.1.2"<br>$fw nat 1 config if ${IIF}<br>$fw add 10 nat 1 ip from 192.168.1.0/24 to any<br>$fw add 20 nat 1 ip from any to me<br><br>${fw} add allow ip from any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ только с таким правилом<br><br>${fw} add allow ip from ${LanIp} to any in via ${LanIn}<br>${fw} add allow ip from any to ${LanIp} out via ${LanIn}<br>${fw} add deny all from any to any<br><br>Понятное дело,правило работает через жопу.<br>${fw} add allow ip from 100.100.100.100 to me не катит.<br>Подскажите,пожалуйста.Где ошибся?Спасибо<br> https://mobile.opennet.me/openforum/vsluhforumID1/91712.html#5 Tue, 07 Jun 2011 18:12:05 GMT &gt;&gt;&gt; ipfw sh покажите для начала) а то сначала у вас правило добавляется <br>&gt;&gt;&gt; с номером 100, потом вы вносите под номерами 10 и 20 <br>&gt;&gt;&gt; правила ната...<br>&gt; Налицо непонимание работы ipfw: <br>&gt; 1) транзитные пакеты проходят сквозь правила два раза - на входе и <br>&gt; на выходе, надо писать правила с учетом этого факта <br>&gt; 2) посмотрите man ipfw на тему one_pass, и всё что с этим <br>&gt; связано.<br><br>Ребят,дико благодарен :) <br>net.inet.ip.fw.one_pass: 1 помогло.<br>Спасибо.<br>upd.не не помогло..буду разбираться дальше.<br> https://mobile.opennet.me/openforum/vsluhforumID1/91712.html#4 Tue, 07 Jun 2011 16:59:56 GMT &gt;&gt; ipfw sh покажите для начала) а то сначала у вас правило добавляется <br>&gt;&gt; с номером 100, потом вы вносите под номерами 10 и 20 <br>&gt;&gt; правила ната...<br><br>Налицо непонимание работы ipfw:<br><br>1) транзитные пакеты проходят сквозь правила два раза - на входе и на выходе, надо писать правила с учетом этого факта<br>2) посмотрите man ipfw на тему one_pass, и всё что с этим связано.<br> https://mobile.opennet.me/openforum/vsluhforumID1/91712.html#3 Tue, 07 Jun 2011 14:38:52 GMT &gt;[оверквотинг удален]<br>&gt; 00100 0 <br>&gt; 0 check-state <br>&gt; 00200 29 1856 allow ip <br>&gt; from any to 100.100.100.100 <br>&gt; 00300 0 <br>&gt; 0 allow ip from 192.168.1.2 to any in via rl1 <br>&gt; 00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1 <br>&gt; 00500 10024 432503 deny ip from any to any <br>&gt; 65535 578 87343 allow ip from any <br>&gt; to any <br><br>ну вот, всё ведь прозрачно) теперь видно, где запрещающее правило у вас идёт. теперь перед ним setup/established/allow (в зависимости от целей) с адресов, с которых можно заходить на него)<br> https://mobile.opennet.me/openforum/vsluhforumID1/91712.html#2 Tue, 07 Jun 2011 13:06:11 GMT &gt; ipfw sh покажите для начала) а то сначала у вас правило добавляется <br>&gt; с номером 100, потом вы вносите под номерами 10 и 20 <br>&gt; правила ната...<br><br>den# ipfw show<br>00010 64969 8429505 nat 1 ip from 192.168.1.0/24 to any<br>00020 34809 15650940 nat 1 ip from any to me<br>00100 0 0 check-state<br>00200 29 1856 allow ip from any to 100.100.100.100<br>00300 0 0 allow ip from 192.168.1.2 to any in via rl1<br>00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1<br>00500 10024 432503 deny ip from any to any<br>65535 578 87343 allow ip from any to any<br> https://mobile.opennet.me/openforum/vsluhforumID1/91712.html#1 Tue, 07 Jun 2011 11:19:49 GMT &gt;[оверквотинг удален]<br>&gt; $fw add 10 nat 1 ip from 192.168.1.0/24 to any <br>&gt; $fw add 20 nat 1 ip from any to me <br>&gt; ${fw} add allow ip from any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ <br>&gt; только с таким правилом <br>&gt; ${fw} add allow ip from ${LanIp} to any in via ${LanIn} <br>&gt; ${fw} add allow ip from any to ${LanIp} out via ${LanIn} <br>&gt; ${fw} add deny all from any to any <br>&gt; Понятное дело,правило работает через жопу.<br>&gt; ${fw} add allow ip from 100.100.100.100 to me не катит.<br>&gt; Подскажите,пожалуйста.Где ошибся?Спасибо <br><br>ipfw sh покажите для начала) а то сначала у вас правило добавляется с номером 100, потом вы вносите под номерами 10 и 20 правила ната...<br>