Архив форумов ЦИТФорума

[MF_FLIP]

ядро собиралось с опцией никого не пущать

почему аська всеравно с этими правилами работает?

${fwcmd} add divert natd all from any to any via ppp0

${fwcmd} add allow ip from any to any via lo0
${fwcmd} add allow ip from any to any via ed0
${fwcmd} add allow tcp from any to any out xmit ppp0 setup
${fwcmd} add allow tcp from any to any via ppp0 established

${fwcmd} add pass tcp from any to any 25 out
${fwcmd} add pass tcp from any 25 to any out
${fwcmd} add pass udp from any to any 110
${fwcmd} add pass udp from any 110 to any


${fwcmd} add allow udp from any to any 53 out xmit ppp0
${fwcmd} add allow udp from any 53 to any in recv ppp0

${fwcmd} add 65435 deny log ip from any to any

[Dmitry.Karpov http://www.]

1) Следует учесть, что интерфейс ppp0 пакеты проходят от имени natd, т.е. от имени сервера. Разрешение всем на ed0 открывает дорогу всем и наружу.

2) ICQ умеет инкапсулироваться в кучу разных протоколов, в т.ч. работать через Squid, если он у вас установлен.

Рекомендую выключить все машины, кроме одной; на этой одной машине выключть все, кроме ICQ и гонять ICQ, попутня глядя через 'ipfw show' на то, какие правила будут наращивать количество пропущенных пакетов.

[MF_FLIP]

###############################################строчка
#${fwcmd} add allow ip from any to any via ed0
##############################################

fwcmd="/sbin/ip.. -f flush

${fwcmd} add divert natd all from any to any via ppp0

${fwcmd} add pass all from any to any via lo0

${fwcmd} add allow tcp from any to any out xmit ppp0 setup
${fwcmd} add allow tcp from any to any via ppp0 established

${fwcmd} add allow udp from any to any 53 out xmit ppp0
${fwcmd} add allow udp from any 53 to any in recv ppp0

${fwcmd} add allow udp from any 53 to any out via ed0
${fwcmd} add allow udp from any to any 53 in via ed0

${fwcmd} add deny icmp from any to any frag
${fwcmd} add pass icmp from any to any
${fwcmd} add reset log tcp from any to any 113 in recv ppp0

${fwcmd} add allow tcp from any 80 to any out via ed0
${fwcmd} add allow tcp from any to any 80 in via ed0

#### а чтобы пустить аську надо:##########
${fwcmd} add allow tcp from any 5190 to any out via ed0
${fwcmd} add allow tcp from any to any 5190 in via ed0

${fwcmd} add 65435 deny log ip from any to any