https://opennet.me/openforum/vsluhforumID10/4665.html Итак, есть шлюз на FreeBSD 4.8. На нем есть файрвол ipfw. Для работы клиент банка нужно открыть порт 2048 во все стороны. Клиент-банк - КУРСКПРОМБАНК, если кому-то это что скажет. <br><br>Хочу получить файл вида:<br><br>=+++<br>#!/bin/sh<br><br>ipfw -q add 090 allow tcp from 77.243.3.22 2048 to 192.168.0.98 in via ed0<br>ipfw -q add 095 allow tcp from 94.25.33.59 to 77.243.3.22 2048 in via ed0<br><br>=+++<br><br>Это мои измышления на эту тему. Неправильные. Надо их поправить так, что бы работало.<br><br>Пояснения:<br><br>77.243.3.22 - адрес банковского компа<br>2048 - нужный им порт<br>192.168.0.98 - адрес компа с клиент банком в локальной сети<br>94.25.33.59 - внешний IP-шлюза<br>ed0 - интерфейс который смотрит в инет<br>rl0 -интерфейс который смотрит в локалку<br><br>Знаю, что надо идти в поиск, читать мануалы т.д. Но вся админка это несколько не мое. И у меня уже голова опухла от чтения того, в чем не особенно разбираешься. Поэтому прошу дать конкретный ответ. Первому, кто пришлет РАБОТОСПОСОБНЫЙ ВАРИАНТ (в обсуждении темы, что бы все видели) - приз https://opennet.me/openforum/vsluhforumID10/4665.html#6 Tue, 17 Aug 2010 04:32:48 GMT &gt;[оверквотинг удален]<br>&gt;01100 allow ip from 192.168.0.0/24 to 94.25.33.59/28 in recv fxp0 <br>&gt;01200 deny ip from 192.168.0.0/24 to any in recv fxp0 <br>&gt;01300 divert 8668 ip from any to any via ed0 <br>&gt;65535 allow ip from any to any <br>&gt;<br>&gt;Заодно разрешил почту по 25 и 110 портам (строка 1000). Хотя меня <br>&gt;больше волнует порт 2048. Проверить клинт-банк смогу только завтра. <br>&gt;<br>&gt;И что такое fxp0? Наверно вместо него должно быть ed0 (интерфейс который <br>&gt;смотрит в интернет)? <br><br>Вообще то есть несколько видов правил: для входящего интерфейса, исходящего интерфейса, внутренней петли. Вы для почты прописали разрешение на входящий трафик по внутреннему интерфейсу, а надо бы исходящий трафик. Попробуйте убрать запись "in recv fxp0". А вообще совет запустить tcpdump и смотреть как проходят пакеты или ставить правило allow log all from any to any и смотреть как проходят пакеты. Для затравки гляньте http://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html Вас интересует общая часть и пример с NAT.<br><br> https://opennet.me/openforum/vsluhforumID10/4665.html#5 Mon, 16 Aug 2010 18:49:51 GMT Отвечаю сам себе :)<br><br>настройки хранятся в файле ipfw.rules<br><br>Немного подправил<br><br>00050 divert 8668 ip from 192.168.0.38 to 95.107.51.118 out xmit ed0<br>00052 divert 8668 ip from 192.168.0.98 to 95.107.51.118 out xmit ed0<br>00053 allow ip from 77.243.3.22 to 192.168.0.98 in recv ed0<br>00054 allow tcp from 192.168.0.98 to 77.243.3.22 2048 out recv ed0<br>00060 divert 8668 ip from any to any in recv ed0<br>00070 allow udp from 95.107.51.118 87 to 192.168.0.38 in recv ed0<br>00072 allow udp from 95.107.51.118 87 to 192.168.0.98 in recv ed0<br>00085 allow udp from 94.25.33.59 to 95.107.51.118 87 in recv ed0<br>00100 deny tcp from any to any 137<br>00200 deny udp from any to any 137<br>00300 allow ip from any to any<br>00400 deny tcp from any to any 3306<br>00500 count ip from any to any in recv ed0<br>00600 allow ip from any to 94.25.33.59 in<br>00700 allow ip from 192.168.0.0/24 to 192.168.0.3 in recv fxp0<br>00800 allow ip from 94.25.33.59 to any out<br>00900 allow ip from 192.168.0.3 to any out<br>01000 allow tcp from 192.168.0.0/24 to a https://opennet.me/openforum/vsluhforumID10/4665.html#4 Mon, 16 Aug 2010 18:28:11 GMT &gt;&gt;[оверквотинг удален]<br>&gt;00053 allow ip from 77.243.3.22 to 192.168.0.98 in recv ed0 <br>&gt;00054 allow ip from 192.168.0.98 to 77.243.3.22 2048 out recv ed0 <br>&gt;00060 divert 8668 ip from any to any in recv ed0 <br>&gt;Как то так. <br><br>Применил. Строку 54 не приняла<br><br>ipfw: only TCP and UDP protocols are valid with port specifications. Исправил ip на tcp. Все принялось<br><br>результат:<br><br>00050 0 0 divert 8668 ip from 192.168.0.38 to 95.107.51.118 out xmit ed0<br>00052 0 0 divert 8668 ip from 192.168.0.98 to 95.107.51.118 out xmit ed0<br>00053 0 0 allow ip from 77.243.3.22 to 192.168.0.98 in recv ed0<br>00054 0 0 allow tcp from 192.168.0.98 to 77.243.3.22 2048 out recv ed0<br>00060 88 11024 divert 8668 ip from any to any in recv ed0<br>00070 0 0 allow udp from 95.107.51.118 87 to 192.168.0.38 in recv ed0<br>00072 0 0 allow udp from 95.107.51.118 87 to 192.168.0.98 in recv ed0<br>00085 0 0 allow udp from 94.25.33.59 to 95.107.51.118 87 in recv ed0<br>00100 0 0 deny tcp from https://opennet.me/openforum/vsluhforumID10/4665.html#3 Mon, 16 Aug 2010 16:57:34 GMT &gt;[оверквотинг удален]<br>&gt;01100 deny ip from 192.168.0.0/24 to any in recv fxp0 <br>&gt;01200 divert 8668 ip from any to any via ed0 <br>&gt;65535 allow ip from any to any <br>&gt;<br>&gt;Строки с 50 по 85 - это для работы клиент-банка от Сбербанка. <br>&gt;Работает отлично. После перезагрузки добавляется командным файлом. Так сделано специально по <br>&gt;одной причине ;) <br>&gt;<br>&gt;Строки с 90-95 - это мои криворукие эксперименты. <br>&gt;После перезагрузки остаются только строки начиная с 100. <br><br>00053 allow ip from 77.243.3.22 to 192.168.0.98 in recv ed0<br>00054 allow ip from 192.168.0.98 to 77.243.3.22 2048 out recv ed0<br>00060 divert 8668 ip from any to any in recv ed0<br>Как то так.<br> https://opennet.me/openforum/vsluhforumID10/4665.html#2 Mon, 16 Aug 2010 15:40:51 GMT &gt;Что кажет <br>&gt;ipfw list <br><br>00050 divert 8668 ip from 192.168.0.38 to 95.107.51.118 out xmit ed0<br>00052 divert 8668 ip from 192.168.0.98 to 95.107.51.118 out xmit ed0<br>00060 divert 8668 ip from any to any in recv ed0<br>00070 allow udp from 95.107.51.118 87 to 192.168.0.38 in recv ed0<br>00072 allow udp from 95.107.51.118 87 to 192.168.0.98 in recv ed0<br>00085 allow udp from 94.25.33.59 to 95.107.51.118 87 in recv ed0<br>00090 allow tcp from any to 192.168.0.98 2048<br>00090 allow tcp from 77.243.3.22 2048 to 192.168.0.98 in recv ed0<br>00092 allow tcp from any 2048 to 192.168.0.98<br>00095 allow tcp from 94.25.33.59 to 77.243.3.22 2048 in recv ed0<br>00100 deny tcp from any to any 137<br>00200 deny udp from any to any 137<br>00300 allow ip from any to any<br>00400 deny tcp from any to any 3306<br>00500 count ip from any to any in recv ed0<br>00600 allow ip from any to 84.17.225.15 in<br>00700 allow ip from 192.168.0.0/24 to 192.168.0.3 in recv fxp0<br>00800 allow ip from 84.17.225.15 to any out<br>00900 allow ip from 192.168.0.3 to any out https://opennet.me/openforum/vsluhforumID10/4665.html#1 Mon, 16 Aug 2010 15:08:25 GMT Что кажет<br>ipfw list<br>