Правильно ли настроен IPFW? 0

kalishenko
Такая ситуация. На шлюзовой машине, имеющей адрес 10.0.2.3 настроил ipfw. На моей машины (WinXP SP2, IP — 10.0.2.59) указал шлюзом по-дефолту эту самую 10.0.2.3. Все ок — Инет есть. А вот у коллеги (WinXP SP2, IP — 10.0.2.2) пинги идут, по днс определяется ай-пи нужного сервера, но браузер ничего не выдает, т.е. IP-пакеты похоже что рубаются. Не пойму, в чем проблема. На обеих тачках  виндовые фаеры выключены. Вот что показывает ipfw show на шлюзовой машине:

xxx# ipfw show

00100   0     0 allow ip from any to any via lo0

00200   0     0 deny ip from any to 127.0.0.0/8

00300   0     0 deny ip from 127.0.0.0/8 to any

00400  82  5637 divert 8668 ip from any to any via fxp0

00500   6   384 allow tcp from me to any keep-state via fxp0

00600  12  1008 allow icmp from any to any

00700   6   639 allow udp from me to any 53 keep-state

00800   0     0 allow udp from any to me 53

00900 114 11356 allow ip from me to any

01000  84  7807 allow tcp from any to me 80,443,22

01100   0     0 allow tcp from not 10.0.2.0/24 to me 25

01200   0     0 fwd 127.0.0.1,8080 tcp from 10.0.2.0/24 to any 80 out xmit fxp0

65535 251 26768 allow ip from any to any

Где ошибка?

Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

>> Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

На шлюзовой машине ipfw + natd. В браузере в вкладке подключения все убрано, т.е. по-идее данные берутся из подключения. А там только указан шлюз по умолчанию и днс-сервера провайдера.

kalishenko
>> Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

На шлюзовой машине ipfw + natd. В браузере в вкладке подключения все убрано, т.е. по-идее данные берутся из подключения. А там только указан шлюз по умолчанию и днс-сервера провайдера.

Так убери форвард на свой прокси и сделай

ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

Либо, что еще лучше, поставь и настрой squid.

>>Либо, что еще лучше, поставь и настрой squid.

Шлюзовая тачка соединена с провом через АДСЛ-модем по ВПН, поэтому не вижу смысла настраивать squid.

>> Так убери форвард на свой прокси и сделай

Если уберу шлюз по умолчанию для сетевого подключения на клиентской машине пакеты будут уходить в никуда. Или я че-то не так понял?

>>ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

>>ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

У меня ведь уже есть подобные

00500 6 384 allow tcp from me to any keep-state via fxp0

и

01000 84 7807 allow tcp from any to me 80,443,22

kalishenko
>>Либо, что еще лучше,  поставь и настрой squid.

Шлюзовая тачка соединена с провом через АДСЛ-модем по ВПН, поэтому не вижу смысла настраивать squid.

Если тобой пользуются как сервером, всегда есть смысл squid поднять. ;-)

>> Так убери форвард на свой прокси и сделай

Если уберу шлюз по умолчанию для сетевого подключения на клиентской машине пакеты будут уходить в никуда. Или я че-то не так понял?

Строчку с ipfw fwd убери.

>>ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

>>ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

У меня ведь уже есть подобные

00500   6   384 allow tcp from me to any keep-state via fxp0

и

01000  84  7807 allow tcp from any to me 80,443,22

Ну и ? Правило 1000 разрешает обращаться к твоей машине на эти порты.  Короче говоря, примени kiss-принцип и не парь себе голову.

Чепуха какая-то. С моей и других машинах все работает. На машине коллеги (WinXP SP2) и на машине с Win2003 Server — нет. Пинги на них есть, а вот страницы не отображаются. Может все дело не в ipfw, а во внутренних настройках этих машин? Если так, то каких?

kalishenko
Чепуха какая-то. С моей и других машинах все работает. На машине коллеги (WinXP SP2) и на машине с Win2003 Server — нет. Пинги на них есть, а вот страницы не отображаются. Может все дело не в ipfw, а во внутренних настройках этих машин? Если так, то каких?

Тебе лучше знать.

На машине с Win2003 Server в IE стоит высокая степень безопасности. Может он сам рубает все пакеты? И как его поставить в среднюю или низкую степень безопасности?

kalishenko
На машине с Win2003 Server в IE стоит высокая степень безопасности. Может он сам рубает все пакеты? И как его поставить в среднюю или низкую степень безопасности?

Очевидно, настройками осла.

Ситуация усложняется. Вырубил FreeBSD, врубил Винду с WinRoute (у меня там 2 винта — один с FreeBsd, другой с Виндой 98) в качестве шлюза. На этой заразе (Win2003 Server) все работает. Получается, что фриха какие-то кривые пакеты ей шлет, потому как когда FreeBsd выступает в роли шлюза netstat на Win2003 Server показывает SYN_SENT, т.е. пытается установить ТСР-соединение, и все, а вот когда Винда 98 выполняет роль шлюза — netstat на Win2003 Server показывает ESTABLISHED, т.е. устойчивое соединение. Есть идеи?

kalishenko
Ситуация усложняется. Вырубил FreeBSD, врубил Винду с WinRoute (у меня там 2 винта — один с FreeBsd, другой с Виндой 98) в качестве шлюза. На этой заразе (Win2003 Server) все работает. Получается, что фриха какие-то кривые пакеты ей шлет, потому как когда FreeBsd выступает в роли шлюза netstat на Win2003 Server показывает SYN_SENT, т.е. пытается установить ТСР-соединение, и все, а вот когда Винда 98 выполняет роль шлюза — netstat на Win2003 Server показывает ESTABLISHED, т.е. устойчивое соединение. Есть идеи?

Нет, только догадки.

Помнится, я слышал о том, что форточка смотрит в tcp-заголовок пакетов и на основании анализа некоторых опций делает выбор о приоритете обслуживания или не обслуживает вообще. Поиграйся с tcpdump.

Решил попробовать настроить squid на шлюзе, может тогда проблема решится. Вопрос: natd надо будет вырубать?

kalishenko
Решил попробовать настроить squid на шлюзе, может тогда проблема решится. Вопрос: natd надо будет вырубать?

Если только не будешь пользоваться софтом, который не умеет работать через прокси, то выключи.