stateful ipfw: ipfw_install_state: entry already present, 0rt, 18-Ноя-11, 07:35 [смотреть все]Добрый день всем. Имеем FreeBSD 8.2+ipfw, правила следующие:# ipfw list 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from any to ::1 00500 deny ip from ::1 to any 00600 allow ipv6-icmp from :: to ff02::/16 00700 allow ipv6-icmp from fe80::/10 to fe80::/10 00800 allow ipv6-icmp from fe80::/10 to ff02::/16 00900 allow ipv6-icmp from any to any ip6 icmp6types 1 01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 01100 allow ip from any to any via lo0 01200 check-state 01300 divert 8668 tcp from 192.168.0.0/16 to any dst-port 22,25,110,143,465,587,993,995,7000,7001,7005 out xmit bce1 recv bce0 keep-state 01400 divert 8668 udp from 192.168.0.0/16 to any dst-port 7000,7001,7005 out xmit bce1 recv bce0 keep-state 01500 divert 8668 ip from 192.168.89.8,192.168.89.254 to any out xmit bce1 recv bce0 keep-state 01600 allow ip from 192.168.0.0/16 to 192.168.0.0/16 via bce0 setup keep-state 01700 allow ip from XXX.XXX.XXX.XXX/27 to XXX.XXX.XXX.XXX/27 via bce2 setup keep-state 01800 allow ip from XXX.XXX.XXX.XXX/27 to any out xmit bce1 setup keep-state 01900 allow ip from any to YYY.YYY.YYY.YYY dst-port 2601,2604 in recv bce1 setup keep-state 02000 allow tcp from any to XXX.XXX.XXX.XXX/27 dst-port 22 setup keep-state 02100 allow ip from any to any out xmit bce1 setup keep-state 02200 allow ip from any to any out xmit bce0 setup keep-state 02300 allow ip from any to XXX.XXX.XXX.66 dst-port 53 keep-state 02400 allow tcp from any to XXX.XXX.XXX.68 dst-port 20,21,80,443 setup keep-state 02500 allow tcp from any to XXX.XXX.XXX.69 dst-port 443,5222,5223 setup keep-state 02600 allow icmp from any to any keep-state 02700 deny log ip from any to any IPFW работает, но ругается в консоль: ipfw: ipfw_install_state: entry already present, done В чём я не прав?
|
- stateful ipfw: ipfw_install_state: entry already present, Square, 20:14 , 18-Ноя-11 (1)
>[оверквотинг удален] > 02100 allow ip from any to any out xmit bce1 setup keep-state > 02200 allow ip from any to any out xmit bce0 setup keep-state > 02300 allow ip from any to XXX.XXX.XXX.66 dst-port 53 keep-state > 02400 allow tcp from any to XXX.XXX.XXX.68 dst-port 20,21,80,443 setup keep-state > 02500 allow tcp from any to XXX.XXX.XXX.69 dst-port 443,5222,5223 setup keep-state > 02600 allow icmp from any to any keep-state > 02700 deny log ip from any to any > IPFW работает, но ругается в консоль: > ipfw: ipfw_install_state: entry already present, done > В чём я не прав?http://www.google.ru/search?hl=ru&source=hp&biw=1235&bih=437...
- stateful ipfw: ipfw_install_state: entry already present, 0rt, 03:42 , 19-Ноя-11 (2)
Спасибо за ссылку, конечно, но это я уже делал и сам. Насколько я понял, правило № 02200 лишнее. Удалил, работает, но всё равно ругается, хотя и реже.
- stateful ipfw: ipfw_install_state: entry already present, Square, 11:10 , 19-Ноя-11 (3)
> Спасибо за ссылку, конечно, но это я уже делал и сам. Насколько > я понял, правило № 02200 лишнее. Удалил, работает, но всё равно > ругается, хотя и реже.если используется нат в режиме дени-инкомингс - то keep-state не нужен. keep-state нужен только для исходящих во вне, причем преимущественно "наружу". Потому что смысл его -создать динамическое правило "в обратную сторону".
- stateful ipfw: ipfw_install_state: entry already present, Golub Mikhail, 11:32 , 21-Ноя-11 (4)
>> Спасибо за ссылку, конечно, но это я уже делал и сам. Насколько >> я понял, правило № 02200 лишнее. Удалил, работает, но всё равно >> ругается, хотя и реже. > если используется нат в режиме дени-инкомингс - то keep-state не нужен. > keep-state нужен только для исходящих во вне, причем преимущественно "наружу". Потому что > смысл его -создать динамическое правило "в обратную сторону".Тоже ломал голову, что за записи ... Потом остыл, так как работает. Но вопрос остался. Правила простые, NAT-а нет. 00100 check-state 00200 allow tcp from any to any established 00300 allow ip from any to any via lo0 00400 deny log ip from any to any not verrevpath in via em0 00500 deny tcp from table(5) to me dst-port 25 00600 allow tcp from table(3) to me dst-port 22 setup 01000 allow icmp from any to any 01100 allow tcp from table(3) to me dst-port 21 setup 01200 allow tcp from any to me dst-port 49152-65535 setup 01400 allow tcp from any to me dst-port 25 setup 01500 allow tcp from any to me dst-port 53 setup 01600 allow udp from any to me dst-port 53 01700 allow udp from 10.0.1.0/24 to me dst-port 161 01800 allow tcp from me to any setup 01900 allow udp from me to any keep-state 02000 deny tcp from any to me dst-port 135-139,445,4899,3389 02100 deny log tcp from any to me 65534 deny ip from any to any Вчера убрал лишние keep-state. Но всеравно за ночь в лог "насыпалось" несколько сообщений. Это firewall на отдельном хосте (не шлюзе). На нем smtp, dns, snmp, ssh, ftp.
- stateful ipfw: ipfw_install_state: entry already present, 0rt, 08:50 , 24-Ноя-11 (5)
Решил проблему следующим набором правил:add allow icmp from any to any add check-state add divert natd tcp from 192.168.0.0/16 to any 22,25,110,143,465,587,993,995,7000,7001,7005 out xmit bce1 keep-state add divert natd udp from 192.168.0.0/16 to any 7000,7001,7005 out xmit bce1 keep-state add divert natd ip from 192.168.89.8/32,192.168.89.254/32 to any out xmit bce1 keep-state add deny ip from any to any frag add deny tcp from any to any established # боимся непонятного add deny ip from any to 192.168.0.0/16 in recv bce1 add deny ip from 192.168.0.0/16 to any in recv bce1 add deny ip from any to 172.16.0.0/12 in recv bce1 add deny ip from 172.16.0.0/12 to any in recv bce1 add deny ip from any to 10.0.0.0/8 in recv bce1 add deny ip from 10.0.0.0/8 to any in recv bce1 add deny ip from any to 169.254.0.0/16 in recv bce1 add deny ip from 169.254.0.0/16 to any in recv bce1 add allow tcp from any to any ssh setup keep-state add allow tcp from any to XXX.XXX.XXX.66 53 setup keep-state add allow udp from any to XXX.XXX.XXX.66 53 keep-state add deny log ip from any to XXX.XXX.XXX.66 add allow tcp from any to XXX.XXX.XXX.64/27 setup keep-state add allow tcp from 192.168.0.0/16 to any setup in recv bce0 keep-state add allow udp from 192.168.0.0/16 to any in recv bce0 keep-state add allow udp from any to any out keep-state add allow tcp from any to any out setup keep-state add allow udp from any to YYY.YYY.YYY.YYY dst-port 2601,2604 in recv bce1 keep-state add allow tcp from any to YYY.YYY.YYY.YYY dst-port 2601,2604 in recv bce1 setup keep-state add 65534 deny log ip from any to any
|