https://www.opennet.ru/openforum/vsluhforumID10/5333.html Здравствуйте!<br><br>Настроил сервер под управлением FreeBSD84, настроил squid. Все прекрасно<br>работает, но вот почту в обход сквида на 25 smtp и 995 pop SSL-TLS никак не хочет отправлять, сразу оговорюсь - dns на контроллере домена, который также имеет выход в Интернет(пока что) уже 2-ую неделю бьюсь - не получается пока...<br><br>ядро собрал со следующими опциями:<br>options IPFIREWALL<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=1000<br>options IPFIREWALL_FORWARD<br>options DUMMYNET<br>options HZ=1000<br>options IPDIVERT<br>#----------------------------------------<br>rc.conf<br><br>hostname="proxy-server"<br>ifconfig_igb1="inet a.b.c.d netmask 255.255.255.128" #внешний ip<br>defaultrouter="a.b.c.1"<br>gateway_enable="yes"<br><br>#--- NAT ---<br><br>natd_enable="yes"<br>natd_interface="igb1"<br>natd_flags="-m -u"<br><br>#--- ---<br><br>ifconfig_igb0="inet 192.168.0.1 netmask 255.255.255.0"<br>keymap="us.unix"<br>firewall_enable="yes"<br>firewall_type="/etc/Firewall"<br>sshd_enable="yes"<br>squid_enabl https://www.opennet.ru/openforum/vsluhforumID10/5333.html#11 Thu, 25 Jun 2015 12:27:34 GMT &gt;&gt; Покажите ipfw sh <br>&gt; 65530 485 69019 deny log logamount 200 ip from any to any <br>&gt; 65535 895701 64933042 deny ip from any to any <br><br>вас не смущает наличие пакетов одновременно в правилах 65530 и 65535?<br><br>Посмотрите какие именно пакеты попали в deny и поймите почему.<br><br>Впишите необходимые правила для пропуска этих пакетов (если они вам нужны)<br><br>Но вообще..мда...<br><br>что значит "не хочет отправлять" ?<br>Кто не хочет отправлять,клиент через ваш шлюз или сам шлюз?<br><br>правило<br>1810 add allow tcp from any to any 25 via igb1<br>это попытка доступа из серой сети к серверу в интернет минуя нат. с серым соответственно адресом. никогда так не заработает :)<br><br>правила<br>3150 add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state<br>3300 add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established<br>3400 add allow udp from 192.168.0.0/24 to any 53 out via igb1<br>жгут неподеццки :)<br>особенно 3300 :))) <br>опять отчаянная попытка отправить пакет из серой сети с серым адресо https://www.opennet.ru/openforum/vsluhforumID10/5333.html#10 Tue, 23 Jun 2015 17:39:11 GMT &gt;&gt; Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип <br>&gt;&gt; в OPEN и потихоньку добавляйте свои правила...<br>&gt; в OPEN режиме попробовал - все работает, но при добавлении ограничивающих правил, <br>&gt; он по-прежнему остается открытым и пакеты пропускает.<br>&gt; И в добавок ко всему у меня задача поставлена именно штатным закрытым <br>&gt; файрволом все реализовать.<br>&gt; Может еще мысли есть...<br><br> Ну там не только OPEN есть...<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#9 Tue, 23 Jun 2015 14:00:46 GMT &gt; Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип <br>&gt; в OPEN и потихоньку добавляйте свои правила...<br><br>в OPEN режиме попробовал - все работает, но при добавлении ограничивающих правил, он по-прежнему остается открытым и пакеты пропускает.<br><br>И в добавок ко всему у меня задача поставлена именно штатным закрытым файрволом все реализовать.<br><br>Может еще мысли есть...<br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#8 Tue, 23 Jun 2015 11:32:22 GMT Вы лучше сделайте следующее, возьмите rc.firewall, имеющийся в поставке, определите тип в OPEN и потихоньку добавляйте свои правила... <br><br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#7 Tue, 23 Jun 2015 10:40:11 GMT &gt; подставите собственные данные <br>&gt; до ната <br>&gt; add pass all from localnet to any 25 via interface_localnet <br>&gt; add pass all from any to localnet 25 via interface_localnet <br>&gt; Ремарка. выкиньте natd и используйте встроеннный в ipfw nat..<br><br>сделал, но пакеты назад не возвращаются:<br><br>02050 6 304 allow ip from 192.168.0.0/24 to any dst-port 25 via igb0<br>02055 0 0 allow ip from any 25 to 192.168.0.0/24 via igb0<br>02100 6 304 divert 8668 ip from 192.168.0.0/24 to any out via igb1<br>02110 117 22925 divert 8668 ip from any to a.b.c.d in via igb1<br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#6 Tue, 23 Jun 2015 10:17:11 GMT подставите собственные данные<br>до ната <br>add pass all from localnet to any 25 via interface_localnet<br>add pass all from any to localnet 25 via interface_localnet<br><br>Ремарка. выкиньте natd и используйте встроеннный в ipfw nat..<br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#5 Tue, 23 Jun 2015 06:37:28 GMT &gt;&gt; 00048 50 <br>&gt;&gt; 2520 allow ip from 192.168.0.0/24 to any dst-port 25 out <br>&gt;&gt; via igb1 setup keep-state <br>&gt;&gt; 00049 955 48132 <br>&gt;&gt; allow ip from 192.168.0.0/24 to any dst-port 995 out via igb1 <br>&gt;&gt; setup keep-state <br>&gt; Уберите эти правила и попробуйте, у вас банально 25 и 995 <br>&gt; не доходит до ната...<br><br>Убрал и добавил правила сразу после ната:<br>add allow ip from 192.168.0.0/24 to any 25 out via igb1<br>add allow ip from any 25 to 192.168.0.0/24 in via igb1<br>add allow ip from any 25 to 192.168.0.0/24 out via igb0<br><br>также отсутствует положительный результат забора и отправки почты - 25 и 995 порты.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#4 Tue, 23 Jun 2015 06:10:31 GMT &gt; какое значение имеет disable_one_pass?<br><br>net.inet.ip.fw.one_pass: 0<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5333.html#3 Tue, 23 Jun 2015 05:52:58 GMT какое значение имеет disable_one_pass?<br><br>&gt; 00048 50 <br>&gt; 2520 allow ip from 192.168.0.0/24 to any dst-port 25 out <br>&gt; via igb1 setup keep-state <br>&gt; 00049 955 48132 <br>&gt; allow ip from 192.168.0.0/24 to any dst-port 995 out via igb1 <br>&gt; setup keep-state <br><br> Уберите эти правила и попробуйте, у вас банально 25 и 995 не доходит до ната...<br>