Призрак
13-09-2011, 10:59
Здравствуйте Уважаемые участники дискуссии.
Есть 3 компьютера:
1. Собственно сервер, операционная система FreeBSD 8,2 с установленным torrent клиентом transmission, IP адрес белый, статический, выдан провайдером (ППИЦ), смотрит напрямую в сеть провайдера, шлюзом не является;
2. Рабочая станция, операционная система Windows XP SP3, IP адрес белый, статический, выдан провайдером (ППИЦ), смотрит напрямую в сеть провайдера;
3. Удаленный компьютер, операционная система Windows 7 SP1, провайдер Utel, IP адрес динамический, выдается автоматически при каждом переподключении.
С компьютера №2 осуществляется доступ к компьютеру №1 через 22 порт (SSH), 80 порт (WEB сервер Apache) и 9091 порт (transmission)
Ядро собрано со следующими дополнительными опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=200
Правила IPFW загружаются скриптом, вот текст скрипта:
#!/bin/sh
ipfw -q -f flush
oif="rl0"
cmd="ipfw -q add"
ks="keep-state"
$cmd allow all from any to any via lo0
$cmd deny all from any to 127.0.0.0/8
$cmd deny all from 127.0.0.0/8 to any
$cmd check-state
#$cmd deny all from any to any frag
#$cmd deny all from any to any established
$cmd allow tcp from any to any out via $oif setup $ks
$cmd allow udp from any to any out via $oif $ks
$cmd allow tcp from 195.19.17X.XXX to any 22 in via $oif setup $ks
$cmd allow tcp from 195.19.17X.XXX to any 80 in via $oif setup $ks
$cmd allow tcp from any to any 9091 in via $oif setup $ks
$cmd allow tcp from any to any 51413 in via $oif setup $ks
$cmd allow icmp from any to any icmptype 8
$cmd allow icmp from any to any icmptype 0
$cmd deny log ip from any to any
2 правила показались мне нерациональными и я их отключил. Нужно ли их включить снова?
С компьютера №2 получается зайти по всем перечисленным выше портам, в том числе по 195.19.17Х.ХХХ:9091 на WEB интерфейс transmission а с компьютера №3 никак не получается (человек, который пытается зайти с другого компьютера говорит, что автоматически открывается поисковик bing корпорации Microsoft в internet explorer, но никак не нужная страница с WEB интерфейсом transmission (на форуме строго запрещено нецензурно выражаться, а то бы я написал все что думаю о корпорации Microsoft, о ее поисковике и о недо explorer е)).
Я уже пытался отключить в конфиге transmission (settings.json) белый список адресов чтобы дать возможность подключиться, в скрипте ipfw открыл даже доступ к порту 9091 для всех, но бесполезно.
Я слышал, что в ядро нужно добавить следующие опции:
options IPDIVERT
options IPFIREWALL_FORWARD
но к сожалению я слабо понимаю разницу между двумя этими опциями - первая вроде бы как для NAT (трансляция сетевых адресов, NATD), вторая для перенаправления пакетов (форвардинга) и используется вроде бы тогда, когда компьютер №1 используется в качестве шлюза (но он не шлюз).
Помогите пожалуйста решить проблему.
Есть 3 компьютера:
1. Собственно сервер, операционная система FreeBSD 8,2 с установленным torrent клиентом transmission, IP адрес белый, статический, выдан провайдером (ППИЦ), смотрит напрямую в сеть провайдера, шлюзом не является;
2. Рабочая станция, операционная система Windows XP SP3, IP адрес белый, статический, выдан провайдером (ППИЦ), смотрит напрямую в сеть провайдера;
3. Удаленный компьютер, операционная система Windows 7 SP1, провайдер Utel, IP адрес динамический, выдается автоматически при каждом переподключении.
С компьютера №2 осуществляется доступ к компьютеру №1 через 22 порт (SSH), 80 порт (WEB сервер Apache) и 9091 порт (transmission)
Ядро собрано со следующими дополнительными опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=200
Правила IPFW загружаются скриптом, вот текст скрипта:
#!/bin/sh
ipfw -q -f flush
oif="rl0"
cmd="ipfw -q add"
ks="keep-state"
$cmd allow all from any to any via lo0
$cmd deny all from any to 127.0.0.0/8
$cmd deny all from 127.0.0.0/8 to any
$cmd check-state
#$cmd deny all from any to any frag
#$cmd deny all from any to any established
$cmd allow tcp from any to any out via $oif setup $ks
$cmd allow udp from any to any out via $oif $ks
$cmd allow tcp from 195.19.17X.XXX to any 22 in via $oif setup $ks
$cmd allow tcp from 195.19.17X.XXX to any 80 in via $oif setup $ks
$cmd allow tcp from any to any 9091 in via $oif setup $ks
$cmd allow tcp from any to any 51413 in via $oif setup $ks
$cmd allow icmp from any to any icmptype 8
$cmd allow icmp from any to any icmptype 0
$cmd deny log ip from any to any
2 правила показались мне нерациональными и я их отключил. Нужно ли их включить снова?
С компьютера №2 получается зайти по всем перечисленным выше портам, в том числе по 195.19.17Х.ХХХ:9091 на WEB интерфейс transmission а с компьютера №3 никак не получается (человек, который пытается зайти с другого компьютера говорит, что автоматически открывается поисковик bing корпорации Microsoft в internet explorer, но никак не нужная страница с WEB интерфейсом transmission (на форуме строго запрещено нецензурно выражаться, а то бы я написал все что думаю о корпорации Microsoft, о ее поисковике и о недо explorer е)).
Я уже пытался отключить в конфиге transmission (settings.json) белый список адресов чтобы дать возможность подключиться, в скрипте ipfw открыл даже доступ к порту 9091 для всех, но бесполезно.
Я слышал, что в ядро нужно добавить следующие опции:
options IPDIVERT
options IPFIREWALL_FORWARD
но к сожалению я слабо понимаю разницу между двумя этими опциями - первая вроде бы как для NAT (трансляция сетевых адресов, NATD), вторая для перенаправления пакетов (форвардинга) и используется вроде бы тогда, когда компьютер №1 используется в качестве шлюза (но он не шлюз).
Помогите пожалуйста решить проблему.