Добрый день.
Может кто поможет в следующей проблеме.
Имеется шлюз OpenSuse 12.1 настройка стандартная DNS+DHCP+SQUID+ SuseFirewall
Две зоны с двумя сетевыми картами eth0 - внешняя eth1 - внутренняя.
Работает нормально. Тут возникла необходимость поставить продукт фирмы polycom.
Эта штука требует несколько тысяч открытых портов. Практически ей нужен голый провод
чтобы она работала.
Набивать в YAST или в текстовике особого желания нет.
Вопрос такой можно ли средствами SuseFirewall открыть неограниченный доступ в инет
на конкретную машину? Либо порты открывать / пробрасывать / перенаправлять диапазонами.
пт, 23/11/2012 - 10:42
#1
Неограниченный доступ для хоста в сети
Отредактировано: lecksys вкл 01/04/2014 - 22:11
Диапазонами естественно можно, странно что в справке яста про это ни слова. Вводится так 10000:11000
ХВОСТ — электронный журнал об openSUSE
Тут такая странность что порты открываются в брандмауэре только в разделе трансляция сетевых адресов. Там диапазоны указать невозможно. Только поштучно причем отдельно UDP и отдельно TCP. Диапазоны можно указать в интерфейсах зон. Но почему то от этого ни холодно ни жарко. Порты как были закрыты так и остались закрытыми. Хоть че там указывай. Правда если выбираешь службу из списка на зоне то она открывается вместе с портами. Но в списке только службы работающие на сервере и на хост внутри сети им глубоко наплевать. Так что это почему то не помогает.
Так, давайте не путать, открытие портов во внешней зоне и трансляцию, это разные вещи. Если вы пробрасываете какой то порт с снаружи внутрь сети, дополнительно его открывать не надо. Это даже может навредить.
Далее когда я говорил, про диапазон, я имел ввиду именно в настройках трансяции. Так как предположил что вам именно это и нужно. В справке не нашел, поэтому тупо посмотрел как сделано у меня на одном из шлюзов. Вот как это выглядит http://susepaste.org/99717784 Это реально работающая конфигурация.
Да TCP и UDP, задаются отдельно, ну сделайте 2 правила если действительно надо и то и другое. Но обычно используется какой то конкретный протокол, а не оба.
ХВОСТ — электронный журнал об openSUSE
Удивительно я именно это и пытался сделать но почему то когда вношу в разделе трансляции диапазон портов получаю ошибку на символ " : "
Пробовал символ " - " тот же самый результат. В консольном правда не пробовал. Неужели консольный firewall отличается от графического.
Попробовал все равно ругается на " : " пишет недопустимый символ в имени порта. Разрешены символы "A-Z, a-z, *, + , - " На запись типа 49152-49535 вносит его но пишет что порт неизвестен системе и будет работать неверно. Хотя вот интересно что подразумевается по символом " * "
Пока в манах не нашел.
Доступ хоста (сети) с диапазоном портов можно задать в файле /etc/sysconfig/SuSEfirewall2
Там есть ключик: FW_MASQ_NETS=
Не все ключи видны в yast.
Ивановский Михаил
Сейчас проверил, действительно через консольный интерфейс диапазон тоже не задается. Значит просто в файле прописывали. Извиняюсь что ввел в заблуждение. Параметр уже указали выше.
ХВОСТ — электронный журнал об openSUSE