 Помогите с IPFW,  tzirulnicov, 22-Авг-04, 12:02 [смотреть все]У меня уже голова пухнет...Почему следующие правила приводят к тому, что клиент 192.168.1.1 не может ни к одному из портов во внешнем мире (сервера в Интернет) приконектиться ? Только пинги проходят... tz# ipfw show
00110 2588 317525 divert 8668 ip from any to any
00200 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00210 0 0 reject ip from 192.168.1.0/24 to any in via vr0
00300 2634 260824 allow ip from any to any via lo0
00310 68 3072 allow tcp from me to any via vr0 keep-state
00320 1284 75292 allow icmp from any to any
00330 62 7036 allow udp from me to any
00340 34 2756 allow udp from any to me
00350 880 53676 allow ip from me to any
00400 621 33600 allow ip from any to me
01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
65535 6549 664425 deny ip from any to any Если добавить правило 1000 allow ip from any to any, то таже ситуация.
Если добавить то же самое правило, но под 120-ым номером, то всё ОК.
Помогите ! |
- Помогите с IPFW, lamerusha, 09:03 , 23-Авг-04 (1)
я думаю мало желающих разбираться в твоей "кучи" правил.
послушай прои идеологию работы ipfw
IMHO тебе это поможет правильно создавать правила.1) правило выполняются - сверху вниз до первого явного указания на действие.
2) обрабатываются два раза - при входе на ipfw и при выходе
3) по умолчанию, divert natd равносилен allow
4) Лучший путь для FireWall'a - все нельзя - можно кое что .. ;)
5) Примеры ищи здесь на "ключах"
6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me"
- Помогите с IPFW, tzirulnicov, 10:15 , 23-Авг-04 (2)
> я думаю мало желающих разбираться в твоей "кучи" правил. Упрощу: 00110 2588 317525 divert 8668 ip from any to any
00350 880 53676 allow ip from me to any
00400 621 33600 allow ip from any to me
01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
65535 6549 664425 deny ip from any to any - клиент 192.168.1.1 не может ни конектиться к портам серверов в Интернет, только к портам сервера. Ы? > послушай прои идеологию работы ipfw
>IMHO тебе это поможет правильно создавать правила.
>
>1) правило выполняются - сверху вниз до первого явного указания на действие. Тогда почему правило 65535 deny ip from any to any всё не перекрывает ?
По-моему, снизу вверх выполняются... >2) обрабатываются два раза - при входе на ipfw и при выходе
>3) по умолчанию, divert natd равносилен allow divert natd ip from any to any=allow ip from any to any ?
Тогда почему, будучи divert natd на первом месте, данное правило не разрешает коннекты ? >4) Лучший путь для FireWall'a - все нельзя - можно кое что
>.. ;) Я знаю. :) >5) Примеры ищи здесь на "ключах"
>6) в обзорах по безопасности были сообщения о проблемах с конструкцией "me"
>
Не нашёл. Не мог бы ты повториться ?
- Помогите с IPFW, lamerusha, 10:52 , 23-Авг-04 (3)
ок
- в ядре все включил ?
надеюсь Bridge - не указал ??? ;))) (недавно наступил на эти грабли ..)еще один момент
IMHO nat для большей гибкости управления лучше включать так : gtw# more /etc/run/natd
#!/bin/sh
natd -a %ext_ip%
-------------
divert natd ip from $internal_inet to any out via $out_if
divert natd ip from any to %ext_ip%
-------------
>Не нашёл. Не мог бы ты повториться ?
нет не мог бы ;) - Помогите с IPFW, andrew, 21:35 , 23-Авг-04 (8)
>>1) правило выполняются - сверху вниз до первого явного указания на действие.
>
>Тогда почему правило 65535 deny ip from any to any всё не
>перекрывает ?
>По-моему, снизу вверх выполняются...
>Блин. Все правильно. Если правило что-то открывает (или закрывает), то последующие правила на него уже НЕ повлияют. Разберись с работой ipfw.
А чтоб заработал твой пример просто правило с reject поставь после этих двух:
01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
01002 2616 164942 allow ip from any to 192.168.1.1 via rl0 Да, и диверт повесь на интерфейс, на котором крутится natd
- Помогите с IPFW, DENNN, 11:18 , 23-Авг-04 (4)
>У меня уже голова пухнет...
>
Балда ты потому что. Потому и не коннектиться клиент 192.168.1.1>00210 0 0 reject ip from 192.168.1.0/24 to any in via vr0
>
>Если добавить правило 1000 allow ip from any to any, то таже
>ситуация.
>Если добавить то же самое правило, но под 120-ым номером, то всё
>ОК.
>Помогите !
- Помогите с IPFW, tzirulnicov, 18:49 , 23-Авг-04 (7)
Какой обстоятельный и исчерпывающий ответ...
- Помогите с IPFW, DENNN, 11:21 , 23-Авг-04 (5)
кроме того, для правила
>00110 2588 317525 divert 8668 ip from any to any
надо указать внешний интерфейс, на котором работает NAT.
Загляни в оригинальный /etc/rc.firewall - там есть все и все работает.
- Помогите с IPFW, tzirulnicov, 18:48 , 23-Авг-04 (6)
Сетевой интерфейс в правилах IPFW у меня указан.
- Помогите с IPFW, Arifolth, 09:53 , 24-Авг-04 (9)
>У меня уже голова пухнет...
>
>Почему следующие правила приводят к тому, что клиент 192.168.1.1 не может ни
>к одному из портов во внешнем мире (сервера в Интернет) приконектиться
>? Только пинги проходят...
>
>tz# ipfw show
>00110 2588 317525 divert 8668 ip from any to any
>00200 0 0 deny
>icmp from any to any in icmptypes 5,9,13,14,15,16,17
>00210 0 0 reject
>ip from 192.168.1.0/24 to any in via vr0
>00300 2634 260824 allow ip from any to any via lo0
>00310 68 3072 allow tcp from me to
>any via vr0 keep-state
>00320 1284 75292 allow icmp from any to any
>00330 62 7036 allow udp from me to
>any
>00340 34 2756 allow udp from any to
>me
>00350 880 53676 allow ip from me to any
>00400 621 33600 allow ip from any to me
>01002 4132 225672 allow ip from 192.168.1.1 to any via rl0
>01002 2616 164942 allow ip from any to 192.168.1.1 via rl0
>65535 6549 664425 deny ip from any to any
>
>Если добавить правило 1000 allow ip from any to any, то таже
>ситуация.
>Если добавить то же самое правило, но под 120-ым номером, то всё
>ОК.
>Помогите ! man ipfw
man natd
до просветления
|
Версия для распечатки
