Jump to content
Калькуляторы

Настройка ipfw

Народ привет. Ситуация такая. Есть FreeBSD 9.1. Сразу скажу, что в ней я не шарю. На ней стоит bgp и маршрутизация и впринципе все. Аплинк к провайдеру весит на em0, на em1 висят vlan с названиями интерфейсов vlan*. Стоит abills, который генерит правила для доступа и ограничения скорости абонентам по dummynet, все данные он берет с соседнего сервака. Суть в том, что когда в ipfw висит правило по умолчанию, разрешающее доступ всем пользователям, так вот когда скрипт биллинга отрабатыает и создает правила для доступа и ограничения, то пользователям закрывается инет. Привожу правила, которые у меня получаются. Помогите, пожалуйста, разобраться, где косяк. Где 1.1.1.1 - ip соседнего сервака, где стоит mysql, откуда беруться все данные, и 1.1.2.2 и 1.1.2.3 - ip адреса клиентов.

Ядро скомпилированно с такими опциями:

options         IPFIREWALL
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         DUMMYNET

 

00010 allow tcp from any to 1.1.1.1 dst-port 9443 via vlan*
00011 allow tcp from any to 1.1.1.1 dst-port 3306 via vlan*
00012 allow tcp from 1.1.1.1 3306 to any via vlan*
00013 allow tcp from 1.1.1.1 9443 to any via vlan*
00014 allow tcp from any to 1.1.1.1 dst-port 80 via vlan*
00015 allow tcp from 1.1.1.1 80 to any via vlan*
08000 pipe tablearg ip from table(15) to table(2,2) in recv vlan*
08010 pipe tablearg ip from table(2,2) to table(14) out xmit vlan*
09000 pipe tablearg ip from table(13) to table(2,1) in recv vlan*
09010 pipe tablearg ip from table(2,1) to table(12) out xmit vlan*
10000 pipe tablearg ip from table(11) to any in recv vlan*
10010 pipe tablearg ip from any to table(10) out xmit vlan*
10020 allow ip from table(9) to any in recv vlan*
10025 allow ip from any to table(9) out xmit vlan*
30004 allow ip from 1.1.2.2 to any
30004 allow ip from any to 1.1.2.2
30006 allow ip from 1.1.2.3 to any
30006 allow ip from any to 1.1.2.3
64100 allow icmp from any to me via vlan*
64101 allow icmp from me to any via vlan*
64400 allow udp from any to 1.1.1.1 dst-port 53
64450 allow udp from 1.1.1.1 53 to any
65000 deny ip from not table(10) to any via vlan* in
65535 allow ip from any to any

Edited by roma33rus

Share this post


Link to post
Share on other sites

Опишите более подробно, в какой момент у юзеров отваливаеься инет. Из конфига понятнл что обычные смертные попадают в таблицы ипфв. Дополнительные юзеры идут по своим правилам(отдельным). Видимо в момент генерирования правил происходит сброс правил, пайпов, таблиц. Собственно что и привлдит к описанной проблемме

Share this post


Link to post
Share on other sites

Опишите более подробно, в какой момент у юзеров отваливаеься инет. Из конфига понятнл что обычные смертные попадают в таблицы ипфв. Дополнительные юзеры идут по своим правилам(отдельным). Видимо в момент генерирования правил происходит сброс правил, пайпов, таблиц. Собственно что и привлдит к описанной проблемме

 

Спасибо за ответ. Я уже разобрался.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.