Здравствуйте, ниже идет мой rc.firewall, с ним работает все, кроме DNS. подскажите, где я напортачил. причем эта конфигурация работала у меня многие месяцы, а потом что-то сломалось. бывает, что удается заставить это работать путем многократных перезапусков скрипта. #!/bin/sh ipfw add 1 check-state ipfw add 100 allow ip from any to any via lo0 ipfw add 200 allow all from me to any ipfw add 300 allow icmp from me to any ipfw add 400 allow icmp from any to me ipfw add 3000 allow tcp from any to any established ipfw add 3100 allow tcp from any to me smtp setup limit src-addr 1 ipfw add 3200 allow tcp from any to me http setup ipfw add 3250 allow tcp from any to me 22 setup ipfw add 3260 allow tcp from 127.0.0.1,192.168.5.40 to me 3306 setup ipfw add 3300 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me 3128 setup ipfw add 3400 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me pop3 setup ipfw add 3500 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me pop3s setup ipfw add 3600 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me 2080 setup ipfw add 3700 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me ftp setup ipfw add 4000 allow tcp from 192.168.3.0/24,192.168.4.0/24,192.168.5.0/24 to me 2080 setup ipfw add 4050 allow tcp from any to me 53 setup ipfw add 4100 allow udp from any to me 53 keep-state ipfw add 4200 allow udp from me 53 to any keep-state -- With best regards, Gregory Edigarov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Gregory, параноя - страшное дело.... может внимательно доку по DNS прочтешь? и лог запуска посмотришь... -- Cheers, Konstantin Nikonenko http://www.kot.dp.ua/ Spetztekhosnastka JSC http://www.d-sto.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
А что еще надо разрешить-то? -- With best regards, Gregory Edigarov On Fri, 5 Dec 2003, Konstantin Nikonenko wrote:
Hello Gregory,
параноя - страшное дело.... может внимательно доку по DNS прочтешь? и лог запуска посмотришь...
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Gregory, Friday, December 5, 2003, 2:56:41 PM, you wrote: GE> А что еще надо разрешить-то? а зачем разрешить? может достаточно запретить лишнее? ну или не для всех. Как я и писал - параноя... подумай вот о чем: Dec 4 13:22:56 plant named[275]: reloading nameserver Dec 4 13:22:56 plant named[275]: Forwarding source address is [0.0.0.0].55113 Dec 4 13:22:56 plant named[275]: Ready to answer queries. Dec 4 13:29:11 plant named[275]: reloading nameserver Dec 4 13:29:11 plant named[275]: Forwarding source address is [0.0.0.0].55316 Dec 4 13:29:11 plant named[275]: Ready to answer queries. Dec 4 13:31:08 plant named[275]: reloading nameserver Dec 4 13:31:08 plant named[275]: Forwarding source address is [0.0.0.0].55371 Dec 4 13:31:08 plant named[275]: Ready to answer queries. -- Cheers, Konstantin Nikonenko http://www.kot.dp.ua/ Spetztekhosnastka JSC http://www.d-sto.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Gregory! On Fri, Dec 05, 2003 at 02:56:41PM +0200, Gregory Edigaroff wrote:
А что еще надо разрешить-то?
Как минимум udp 1024. Для rndc можно открыть 953 tcp и udp. А еще лучше добавь логирование реджектов и посмотри что именно там лишнего реджектится. В самый конц: ipfw add 65000 count log ip from any to me Жми раз в секунду: host Thing-Fish.Kharkov.NET И наблюдай кто у тебя там раз в секунду реджектится по: tail -F /var/log/security -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Fri, Dec 05, 2003 at 14:38:23, greg wrote about "[uanog] ipfw q":
ниже идет мой rc.firewall, с ним работает все, кроме DNS. [...]
ipfw add 1 check-state [...] ipfw add 4100 allow udp from any to me 53 keep-state ipfw add 4200 allow udp from me 53 to any keep-state
Вообще-то здесь не нужен keep-state, если ты даёшь явный allow в обоих направлениях для одного и того же. Я подозреваю, что ты имел в виду нечто следующее: ipfw add 4100 allow udp from me to any 53 keep-state ipfw add 4200 allow udp from any to me 53 ipfw add 4300 allow udp from me 53 to any -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Все ! Понял. посыпаю голову пеплом и ухожу в моннахи :-) Спасибо. -- With best regards, Gregory Edigarov On Fri, 5 Dec 2003, Konstantin Nikonenko wrote:
Hello Gregory,
Friday, December 5, 2003, 2:56:41 PM, you wrote:
GE> А что еще надо разрешить-то? а зачем разрешить? может достаточно запретить лишнее? ну или не для всех. Как я и писал - параноя...
подумай вот о чем: Dec 4 13:22:56 plant named[275]: reloading nameserver Dec 4 13:22:56 plant named[275]: Forwarding source address is [0.0.0.0].55113 Dec 4 13:22:56 plant named[275]: Ready to answer queries. Dec 4 13:29:11 plant named[275]: reloading nameserver Dec 4 13:29:11 plant named[275]: Forwarding source address is [0.0.0.0].55316 Dec 4 13:29:11 plant named[275]: Ready to answer queries. Dec 4 13:31:08 plant named[275]: reloading nameserver Dec 4 13:31:08 plant named[275]: Forwarding source address is [0.0.0.0].55371 Dec 4 13:31:08 plant named[275]: Ready to answer queries.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день. Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Dec 05, 2003 at 04:17:07PM +0200, Vitaly Puchkov wrote:
Добрый день.
Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ?
раньше был PlanetSky тариф RescueNet вполне приемлимый на Telstar12. потом они хотели поменять чтобы этот тариф шел на другом транспондере 8QAM вместо QPSK. сделали или нет - незнаю к сожалению. -- With best regards, Alexandr Kanevskiy. ISP Inter-Don. CTO AK2240-RIPE, AK2-6BONE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Vitaly! On Fri, Dec 05, 2003 at 04:17:07PM +0200, Vitaly Puchkov wrote:
Добрый день.
Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ?
Двусторонний, или только прием? В общем посмотри вот это: http://www.ll.net.ua/ -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Только прием.
----- Original Message -----
From: "Sergey Babitch"
Hi, Vitaly!
On Fri, Dec 05, 2003 at 04:17:07PM +0200, Vitaly Puchkov wrote:
Добрый день.
Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ?
Двусторонний, или только прием? В общем посмотри вот это: http://www.ll.net.ua/
-- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
----- Original Message -----
From: "Sergey Babitch"
Hi, Vitaly!
On Fri, Dec 05, 2003 at 04:17:07PM +0200, Vitaly Puchkov wrote:
Добрый день.
Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ?
Двусторонний, или только прием? В общем посмотри вот это: http://www.ll.net.ua/
Ну и где ж там оплата по трафику ?
-- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Vitaly, Здравствуйте ! Friday, December 5, 2003, 4:17:07 PM, you wrote: VP> Возникла задачка построить резервный канал со спутника 1,5М-2М с VP> оплатой по трафику. Кто нибудь делает такое ? http://www.spacegate.com.ua -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Vitaly! On Fri, Dec 05, 2003 at 06:14:06PM +0200, Vitaly Puchkov wrote: [Skipped by Sergey Babitch]
В общем посмотри вот это: http://www.ll.net.ua/
Ну и где ж там оплата по трафику ?
Я тебе наводку дал... Позвони - пообщайся, если конечно оно тебе надо... -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Dec 05, 2003 at 04:17:07PM +0200, Vitaly Puchkov wrote:
Добрый день.
Возникла задачка построить резервный канал со спутника 1,5М-2М с оплатой по трафику. Кто нибудь делает такое ?
Если найдеш, кто предлагает такое с приемлимым качеством и нормальными ценами - маякни, ибо подобное - редкость. В чем суть проблемы - Inet over Sat провайдеры любят продавать CIR-ы, и не любят продавать помегабайтку. Почему - потому что Inet провайдер платит за емкость спутникового транспондера, а не за траффик который тудой может пройдет, а может и нет. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (8)
-
Alexander V Soroka -
Alexandr D. Kanevskiy -
Gregory Edigaroff -
Konstantin Nikonenko -
Sergey Babitch -
Valentin Nechayev -
Vitaly Puchkov -
Volodymyr Yakovenko