leidruid (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} leidruid) wrote,@ 2006-08-13 20:56:00 |
|
Не понял
есть набор следующих правил ipfw:
#!/bin/sh
fwcmd="/sbin/ipfw"
natdcmd="/sbin/natd"
int_if="rl0"
ext_if="xl0"
${fwcmd} -f flush
${natdcmd} -s -m -u -a 192.168.10.254
${fwcmd} add 10 allow icmp from any to any
${fwcmd} add 304 deny ip from any to 192.168.0.0/16 out via ${ext_if}
${fwcmd} add 305 deny ip from any to 10.0.0.0/16 out via ${ext_if}
${fwcmd} add 306 deny ip from any to 172.16.0.0/12 out via ${ext_if}
${fwcmd} add 308 allow udp from any to 192.168.0.254 8888 via ${int_if}
${fwcmd} add 309 allow udp from 192.168.0.254 to any via ${int_if}
${fwcmd} add 310 allow tcp from 192.168.0.253 to 192.168.10.1 22 via ${int_if}
${fwcmd} add 320 deny log ip from 192.168.0.0/24 to 192.168.0.254 via ${int_if}
${fwcmd} add 50024 divert natd all from any to any via ${ext_if}
${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup
${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established
${fwcmd} add 50031 allow udp from any to any out via ${ext_if}
${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}
${fwcmd} add 50033 allow tcp from any to 192.168.10.254 22 via ${ext_if}
$fwcmd add 65534 deny log ip from any to any
Так вот:
При подключении клиента на биллинг добавляется правило:
${fwcmd} add *диапазон в районе 23000* allow ip from $ip to any via ${int_if}
(ip - ip клиента)
При сборке ядра было указано дефолтовое значение allow для ipfw
Проблема: при авторизации на сервере (читай: при добавлении правила, указанного выше), клиент не получает свой честно положенный инет.
Удаление правила 65534 облегчения не приносит: клиенты получают инет даже без авторизации.
Help plz
есть набор следующих правил ipfw:
#!/bin/sh
fwcmd="/sbin/ipfw"
natdcmd="/sbin/natd"
int_if="rl0"
ext_if="xl0"
${fwcmd} -f flush
${natdcmd} -s -m -u -a 192.168.10.254
${fwcmd} add 10 allow icmp from any to any
${fwcmd} add 304 deny ip from any to 192.168.0.0/16 out via ${ext_if}
${fwcmd} add 305 deny ip from any to 10.0.0.0/16 out via ${ext_if}
${fwcmd} add 306 deny ip from any to 172.16.0.0/12 out via ${ext_if}
${fwcmd} add 308 allow udp from any to 192.168.0.254 8888 via ${int_if}
${fwcmd} add 309 allow udp from 192.168.0.254 to any via ${int_if}
${fwcmd} add 310 allow tcp from 192.168.0.253 to 192.168.10.1 22 via ${int_if}
${fwcmd} add 320 deny log ip from 192.168.0.0/24 to 192.168.0.254 via ${int_if}
${fwcmd} add 50024 divert natd all from any to any via ${ext_if}
${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup
${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established
${fwcmd} add 50031 allow udp from any to any out via ${ext_if}
${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}
${fwcmd} add 50033 allow tcp from any to 192.168.10.254 22 via ${ext_if}
$fwcmd add 65534 deny log ip from any to any
Так вот:
При подключении клиента на биллинг добавляется правило:
${fwcmd} add *диапазон в районе 23000* allow ip from $ip to any via ${int_if}
(ip - ip клиента)
При сборке ядра было указано дефолтовое значение allow для ipfw
Проблема: при авторизации на сервере (читай: при добавлении правила, указанного выше), клиент не получает свой честно положенный инет.
Удаление правила 65534 облегчения не приносит: клиенты получают инет даже без авторизации.
Help plz
