forum.opennet.ru - "ipfw dummnet" (28)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw dummnet"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw dummnet"
Сообщение от simba on 09-Июн-04, 21:52 (MSK)
Подскажите правила для pipe должны идти до divert или после ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw dummnet, simba, 21:54 , 09-Июн-04, (1)
- ipfw dummnet, pev2000, 00:25 , 10-Июн-04, (2)
  - ipfw dummnet, simba, 18:36 , 10-Июн-04, (3)
    - ipfw dummnet, pev2000, 20:27 , 10-Июн-04, (4)
      - ipfw dummnet, simba, 08:46 , 11-Июн-04, (5)
        
        ipfw dummnet, A Clockwork Orange, 10:23 , 11-Июн-04, (6)
        
        ipfw dummnet, simba, 10:36 , 11-Июн-04, (7)
        
        ipfw dummnet, A Clockwork Orange, 11:27 , 11-Июн-04, (8)
        
        ipfw dummnet, pev2000, 12:33 , 11-Июн-04, (9)
        
        ipfw dummnet, A Clockwork Orange, 15:45 , 11-Июн-04, (11)
        
        ipfw dummnet, pev2000, 15:32 , 14-Июн-04, (25)
ipfw dummnet, pev2000, 12:52 , 11-Июн-04, (10)
- ipfw dummnet, simba, 16:54 , 11-Июн-04, (12)
- ipfw dummnet, khan, 17:34 , 11-Июн-04, (13)
  - ipfw dummnet, pev2000, 17:53 , 11-Июн-04, (14)
    - ipfw dummnet, khan, 14:06 , 12-Июн-04, (15)
      - ipfw dummnet, pev2000, 16:46 , 12-Июн-04, (16)
        
        ipfw dummnet, ppa, 00:38 , 13-Июн-04, (17)
        ipfw dummnet, khan, 11:58 , 14-Июн-04, (20)
ipfw dummnet - всем двойка!, Дмитрий Ю. Карпов www.prof.pi2.ru, 23:47 , 13-Июн-04, (18)
- ipfw dummnet - всем двойка!, pev2000, 02:14 , 14-Июн-04, (19)
  - ipfw dummnet - всем двойка!, khan, 12:15 , 14-Июн-04, (21)
    - ipfw dummnet - всем двойка!, pev2000, 14:02 , 14-Июн-04, (23)
      - ipfw dummnet - всем двойка!, khan, 15:56 , 14-Июн-04, (26)
        
        ipfw dummnet - всем Удачи!!!, pev2000, 17:49 , 14-Июн-04, (27)
  - ipfw dummnet - всем двойка!, Дмитрий Ю. Карпов www.prof.pi2.ru, 13:02 , 14-Июн-04, (22)
    - ipfw dummnet - всем двойка!, pev2000, 15:24 , 14-Июн-04, (24)
      - ipfw dummnet - всем двойка!, Misha Volkov, 20:01 , 19-Июн-04, (28)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw dummnet"

Сообщение от simba on 09-Июн-04, 21:54  (MSK)

кто нить могёт рабочий конфиг дать ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw dummnet"

Сообщение от pev2000 (??) on 10-Июн-04, 00:25  (MSK)

>кто нить могёт рабочий конфиг дать ?
##########################################################################
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
local="192.168.0.0/16"
opers="192.168.1.1/28"
cafe="192.168.1.16/28"
#Создание шлюза для всех =)
${fwcmd} add 98 divert natd ip from any to any in via ed0
${fwcmd} add 99 divert natd ip from any to any out via ed0
## а вот тут мы зло обрежем скорость прокачки с порта 8080 прокси сервера
#
${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via fxp0
${fwcmd} pipe 103 config bw ${oper_speed}
#
${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via fxp0
${fwcmd} pipe 104 config bw ${cafe_speed}
##########################################################################
P.S. С тебя пива!

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw dummnet"

Сообщение от simba on 10-Июн-04, 18:36  (MSK)

>>кто нить могёт рабочий конфиг дать ?
>
>##########################################################################
>
>fwcmd="/sbin/ipfw -q"
>${fwcmd} -f flush
>
>local="192.168.0.0/16"
>opers="192.168.1.1/28"
>cafe="192.168.1.16/28"
>
>#Создание шлюза для всех =)
>${fwcmd} add 98 divert natd ip from any to any in via
>ed0
>${fwcmd} add 99 divert natd ip from any to any out via
>ed0
>
>## а вот тут мы зло обрежем скорость прокачки с порта 8080
>прокси сервера
>#
>${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via
>fxp0
>${fwcmd} pipe 103 config bw ${oper_speed}
>#
>${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via
>fxp0
>${fwcmd} pipe 104 config bw ${cafe_speed}
>##########################################################################
>
>P.S. С тебя пива!
еще маленький вопрос всё таки до или после диверта.
ставлю после у меня не работает

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw dummnet"

Сообщение от pev2000 (ok) on 10-Июн-04, 20:27  (MSK)

>>${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via
>>fxp0
>>${fwcmd} pipe 103 config bw ${oper_speed}
>>#
>>${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via
>>fxp0
>>${fwcmd} pipe 104 config bw ${cafe_speed}
>>##########################################################################
>>
>>P.S. С тебя пива!
>еще маленький вопрос всё таки до или после диверта.
>ставлю после у меня не работает

гы... так прям и поставил? ;-)
совсем головой не хочешь думать!!!
не добавил я эти строки:
cafe_speed="30000bit/s"
oper_speed="42000bit/s"
а если переменая скорости = 0 скорость не обрезается

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw dummnet"

Сообщение от simba on 11-Июн-04, 08:46  (MSK)

>>>${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via
>>>fxp0
>>>${fwcmd} pipe 103 config bw ${oper_speed}
>>>#
>>>${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via
>>>fxp0
>>>${fwcmd} pipe 104 config bw ${cafe_speed}
>>>##########################################################################
>>>
>>>P.S. С тебя пива!
>>еще маленький вопрос всё таки до или после диверта.
>>ставлю после у меня не работает
>
>
>гы... так прям и поставил? ;-)
>
>совсем головой не хочешь думать!!!
>не добавил я эти строки:
>
>cafe_speed="30000bit/s"
>oper_speed="42000bit/s"
>
>а если переменая скорости = 0 скорость не обрезается
:lol:
ясный пень ,токо мне надо круче выпендриться
делю всё полосу на всех . поэтому 0.
делаю очереди .с определённык айпишников weight 80
у других другой (30), если ставить до диверта то работают но
со стороны пользователей не заметно. если после диверта то не работают
вот конфиг
rl0 inside interface
rl0 outside
${fwcmd} pipe 1  config 0
${fwcmd} queue 1 config pipe 1 weight 10
${fwcmd} queue 2 config pipe 1 weight 90
${fwcmd} queue 3 config pipe 1 weight 20
${fwcmd} add 100 queue 1 ip from 10.10.2.16/28 to 10.10.2.1 via rl0
${fwcmd} add 200 queue 1 ip from 10.10.2.1 to 10.10.2.16/28 via rl0
${fwcmd} add 300 queue 1 ip from 10.10.2.1 to 10.10.2.32/28 via rl0
${fwcmd} add 400 queue 1 ip from 10.10.2.32/28 to 10.10.2.1 via rl0
${fwcmd} add 500 queue 1 ip from 10.10.2.48/28 to 10.10.2.1 via rl0
${fwcmd} add 600 queue 1 ip from 10.10.2.1 to 10.10.2.48/28  via rl0
${fwcmd} add 700 queue 1 ip from 10.10.2.64/26 to 10.10.2.1 via rl0
${fwcmd} add 800 queue 1 ip from 10.10.2.1 to 10.10.2.64/26 via rl0
${fwcmd} add 900 queue 1 ip from 10.10.2.128/25 to 10.10.2.1 via rl0
${fwcmd} add 1000 queue 1 ip from 10.10.2.1 to 10.10.2.128/25 via rl0
${fwcmd} add 1100 queue 2 ip from 10.10.2.0/28 to 10.10.2.1 via rl0
${fwcmd} add 1200 queue 2 ip from 10.10.2.1 to 10.10.2.0/28 via rl0
${fwcmd} add 1300 queue 3 tcp from 10.10.2.0/24  to any  pop3 via rl0
${fwcmd} add 1400 queuq 3 tcp from 10.10.2.0/24 to     any stmp via rl0
${fwcmd} add 1500 queue 3 tcp from any  to 10.10.2.0/24 pop3  via rl0
${fwcmd} add 1600 queue 3 tcp from any to 10.10.2.0/24 smtp via rl0
${fwcmd} add 1700 allow all from any to any via gif0
${fwcmd} add 1800 allow udp from a.b.c.d to q.w.e.r isakmp
${fwcmd} add 1900 allow udp from q.w.e.r to a.b.c.d isakmp
${fwcmd} add 2000 allow esp from q.w.e.r to a.b.c.d
${fwcmd} add 2100 allow esp from a.b.c.d to q.w.e.r
${fwcmd} add 2200 allow ipencap from q.w.e.r to a.b.c.d
${fwcmd} add 2300 allow ipencap from a.b.c.d to q.w.e.r
${fwcmd} add allow log logamount 100 tcp from 10.10.2.0/24  to 10.10.2.1
${fwcmd} add allow log logamount 100 tcp from 10.10.2.1 to 10.10.2.0/24
case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n "${natd_interface}" ]; then
                        ${fwcmd} add divert natd all from any to any via ${natd_interface}
                fi
                ;;
        esac
.....
зы: думать пытаюс.
просто не видел статьи где бы правильно описывалось
очереёдность строк в ipfw

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw dummnet"

Сообщение от A Clockwork Orange on 11-Июн-04, 10:23  (MSK)

$fwcmd add prob 0.90 pipe 1 tcp from any 80,443 to 192.168.0.1/24
$fwcmd pipe 1 config bw 9200bit/s mask dst-ip 0x00000000
Вопрос.
to 192.168.0.1/24
тут указвается вроде как не сеть а хост, везде так.. Разъясните этот момент пожалуйста

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw dummnet"

Сообщение от simba on 11-Июн-04, 10:36  (MSK)

>$fwcmd add prob 0.90 pipe 1 tcp from any 80,443 to 192.168.0.1/24
>
>$fwcmd pipe 1 config bw 9200bit/s mask dst-ip 0x00000000
>
>Вопрос.
>
>to 192.168.0.1/24
>
>тут указвается вроде как не сеть а хост, везде так.. Разъясните этот
>момент пожалуйста
192.168.0.1/24  - это сеть :)
/24 это побитовая маска
http://home.mark-itt.ru/~sen/cgi-bin/ipcalc.cgi?host=192.168.0.1&mask=24
изучай^^^^^

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw dummnet"

Сообщение от A Clockwork Orange on 11-Июн-04, 11:27  (MSK)

Ну и покажи хоть один хост в этой сети

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw dummnet"

Сообщение от pev2000 (ok) on 11-Июн-04, 12:33  (MSK)

>Ну и покажи хоть один хост в этой сети
если ты имел честь заглянуть по приведеной ссылке - http://home.mark-itt.ru/~sen/cgi-bin/ipcalc.cgi?host=192.168.0.1&mask=24
"сеть" 192.168.0.1/24 - есть сеть 192.168.0.0/24, а вообще если поэксперементировать на продакшине :-D то можно понять что есть "сеть" 192.168.0.254/24, где:
первый хост - 192.168.0.1
последний - 192.168.0.254
но если уж придераться то по правилам описывать нужно как 192.168.0.0/24, или 192.168.1.0/24, или 192.168.2.0/24, продолжать? ;-)
что придераешься... работает и хорошо... ну и что что не по стандартам... они их не читали... Удачи в эксперементах!

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "ipfw dummnet"

Сообщение от A Clockwork Orange on 11-Июн-04, 15:45  (MSK)

А вот тебе статься
http://ipfw.ism.kiev.ua/nipfw.html

/sbin/ipfw pipe 1 config bw 1000Kbit/s
/sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000
/sbin/ipfw queue 2 config pipe 2 weight 75 mask dst-ip 0x00000000
/sbin/ipfw add queue 1 ip from any to 192.168.0.1/25
/sbin/ipfw add queue 2 ip from any to 192.168.0.128/25
даст некоторый проиоритет в использовании канала пользователям с адресами, большими 192.168.0.128. Это неплохой инструмент для VIP-обслуживания некоторых абонентов сети без "глобального" ущемления прав рядовых пользователей: если никому из VIP-группы в данный момент канал не нужен, то обычные пользователи делят между собой пропускную способность поровну, но если VIP-абоненту понадобились услуги - простые пользователи автоматически подвигаются ...(процент за использование идеи можно присылать мне - о способе передачи договоримся :) ладно, шучу - пользуйтесь за так) Аналогичным образом можно, например, дать приоритет использования канала любителям поиграть через Интернет (отправив через привелегированную очередь пакеты с известных игровых серверов) за счет "качальщиков".
/sbin/ipfw pipe 1 config bw 1000Kbit/s
/sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000
/sbin/ipfw add queue 1 ip from any to 192.168.0.1/24
справедливо разделит пропускную способность в 1 мегабит между всеми пользователями сети, т.к. очереди равноприоритетны (пакеты будут выходить из пользовательских очередей "по очереди")
Что Вы на это скажете по поводу этого?

Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "ipfw dummnet"

Сообщение от pev2000 (ok) on 14-Июн-04, 15:32  (MSK)

>А вот тебе статься
>http://ipfw.ism.kiev.ua/nipfw.html
статья есть перевод "man ipfw", для новичков полезная штука!

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ipfw dummnet"

Сообщение от pev2000 (ok) on 11-Июн-04, 12:52  (MSK)

>Подскажите правила для pipe должны идти до divert или после ?
У меня все правила стоят и работают после диверта, единственое что стоит до диверта это count с интерфейсов

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "ipfw dummnet"

Сообщение от simba on 11-Июн-04, 16:54  (MSK)

>>Подскажите правила для pipe должны идти до divert или после ?
>
>У меня все правила стоят и работают после диверта, единственое что стоит
>до диверта это count с интерфейсов
получается , если ты до диверта пакеты никакие не режишь,а сразу всё впускаешь или выпускаешь из своей сети. помоему это не совсем правильно

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "ipfw dummnet"

Сообщение от khan (??) on 11-Июн-04, 17:34  (MSK)

>>Подскажите правила для pipe должны идти до divert или после ?
>
>У меня все правила стоят и работают после диверта, единственое что стоит
>до диверта это count с интерфейсов
Ну вот собственно в мане все написано просто и доходчиво.
Для каждого пакета идет в фаерволе перебор правил до совпадения, и если оно произошло, пакет обрабатывается и дальнейший поиск прекращается. Это не касается ipfw count, после совпадения с этим правилом перебор продолжается, и зависит от переменной net.inet.ip.fw.one_pass.
00010 pipe 1 ip from any to any via rl0
01061 count ip from 192.168.100.106 to any via ng30
01062 count ip from any to 192.168.100.106 via ng30
01071 pipe 2 ip from any to 192.168.100.105
08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0
09000 divert 8668 ip from any to 193.9.165.10
09010 pipe 3 ip from 192.168.100.0/24 to any
09010 pipe 4 ip from any to 193.9.165.10
50000 allow ip from any to any
65535 deny ip from any to any
Итак В пайп 1 попадают все пакеты, проходящие чарез rl0
В каунт все что идет на/с 192.168.100.106
В пайп 2 все на 192.168.100.105
В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от него до этого правила не доходят, они уже обработаны.
В пайп 3 попадают пакеты с 192.168.100.0/24 которые не идут через fxp0
И в пайп 4 не попадает ни одного пакета

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "ipfw dummnet"

Сообщение от pev2000 (ok) on 11-Июн-04, 17:53  (MSK)

>от переменной net.inet.ip.fw.one_pass.
и в данном случае у тебя оно 1 или 0? :-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "ipfw dummnet"

Сообщение от khan (??) on 12-Июн-04, 14:06  (MSK)

>>от переменной net.inet.ip.fw.one_pass.
>
>и в данном случае у тебя оно 1 или 0? :-)
В данном - 1,
у меня оно всегда один, а то если 0 после некоторых совпадений пакеты снова в фаерволл загоняются и хрен потом разберешься по каким правилам еще пакет проходит

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "ipfw dummnet"

Сообщение от pev2000 (ok) on 12-Июн-04, 16:46  (MSK)

>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит
>от переменной net.inet.ip.fw.one_pass.
которая у тебя как и у меня = 1
>
>00010 pipe 1 ip from any to any via rl0
>01061 count ip from 192.168.100.106 to any via ng30
>01062 count ip from any to 192.168.100.106 via ng30
>01071 pipe 2 ip from any to 192.168.100.105
>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0
>09000 divert 8668 ip from any to 193.9.165.10
>09010 pipe 3 ip from 192.168.100.0/24 to any
>09010 pipe 4 ip from any to 193.9.165.10
>50000 allow ip from any to any
>65535 deny ip from any to any
>
>Итак В пайп 1 попадают все пакеты, проходящие чарез rl0
>В каунт все что идет на/с 192.168.100.106
>В пайп 2 все на 192.168.100.105
>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от
>него до этого правила не доходят, они уже обработаны.
обработаны кем count'ом?
#man ipfw
count   Update counters for all packets that match rule.  The search continues with the next rule.
значит по твоему 192.168.100.106 в инет не ходит? так на кой считать что ходит от него/к нему? :)
абсурд! ;)
и вообще правила какие то веселые =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "ipfw dummnet"

Сообщение от ppa on 13-Июн-04, 00:38  (MSK)

>>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит
>>от переменной net.inet.ip.fw.one_pass.
> которая у тебя как и у меня = 1
>>
>>00010 pipe 1 ip from any to any via rl0
>>01061 count ip from 192.168.100.106 to any via ng30
>>01062 count ip from any to 192.168.100.106 via ng30
>>01071 pipe 2 ip from any to 192.168.100.105
>>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0
>>09000 divert 8668 ip from any to 193.9.165.10
>>09010 pipe 3 ip from 192.168.100.0/24 to any
>>09010 pipe 4 ip from any to 193.9.165.10
>>50000 allow ip from any to any
>>65535 deny ip from any to any
>>
>>Итак В пайп 1 попадают все пакеты, проходящие чарез rl0
>>В каунт все что идет на/с 192.168.100.106
>>В пайп 2 все на 192.168.100.105
>>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от
>>него до этого правила не доходят, они уже обработаны.
нужно ограничивать действие диверта или трубы интерфейсом
тогда можно будет сделать чтобы эти пакеты попали в фаервол _как бы_ еще раз
например если у тебя все юзеры из это сетки висят на ng*
то можно сделать так:
08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0
09000 divert 8668 ip from any to 193.9.165.10
09010 pipe 3 ip from any to any via ng* in
09010 pipe 4 ip from any to any via ng* out
--
ppa

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "ipfw dummnet"

Сообщение от khan (??) on 14-Июн-04, 11:58  (MSK)

>>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит
>>01061 count ip from 192.168.100.106 to any via ng30
>>01062 count ip from any to 192.168.100.106 via ng30
>>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0
>>
>>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от
>>него до этого правила не доходят, они уже обработаны.
>
>обработаны кем count'ом?
>
>#man ipfw
>count   Update counters for all packets that match rule.
>The search continues with the next rule.
>
>значит по твоему 192.168.100.106 в инет не ходит? так на кой считать
>что ходит от него/к нему? :)
>абсурд! ;)
Ну это я конечно прогнал, см первое предложение, да и если было бы allow
то на выходе пакеты все равно попадали бы в НАТ, т.к. в правилах указано через какие интерфейсы они идут.
..........to any via ng30
..........to any out xmit fxp0

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "ipfw dummnet - всем двойка!"

Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 13-Июн-04, 23:47  (MSK)

Все правила ipfw обрабатываются дважды - на входе пакета и на выходе. Если ты используешь divert ->в natd для маскарадинга, то на divert работает только на внешнем интерфейсе, а на внутреннем и происходит shaping (но его надо ставить до allow, а то allow прерывает просмотр правил).

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "ipfw dummnet - всем двойка!"

Сообщение от pev2000 (ok) on 14-Июн-04, 02:14  (MSK)

>Все правила ipfw обрабатываются дважды - на входе пакета и на выходе. Если ты используешь divert ->в natd для маскарадинга, то на divert работает только на внешнем интерфейсе, а на внутреннем и происходит shaping (но его надо ставить до allow, а то allow прерывает просмотр правил).
и не только allow,
man ipfw
allow | accept | pass | permit
Allow packets that match rule.  The search terminates.
хм... это совсем всем двойка?
вот все что Вы имели честь писать это о ipfw вообще или применительно лишь к нашем случаю, а то я тоже щас как начну придераться... к запятым =)
а как объяснити ниже следущее?
у меня до divert стоит
allow ip from 192.168.0.0/16 to me
allow ip from me to 192.168.0.0/16
тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это правило? ДА! так перебор правил как я понял с ваших слов и "man ipfw" прекращается после прохождения allow, Ура! но далее идут правила:
divert 8668 ip from any to any out via ed0
divert 8668 ip from any to any in via ed0
первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще NАТ), а второе проделывает обратное "превращение"
внимание вопрос! что должен divert'ить divert если пакет попал под правило  allow из ваших рассуждений получается что тут ни чего уже больше не происходит и не работает... приплыли... СТОП! а ведь работает! вы сударь наверное теоретик, а статейки у вас не плохие! :)
Удачи!

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "ipfw dummnet - всем двойка!"

Сообщение от khan (??) on 14-Июн-04, 12:15  (MSK)

>и не только allow,
>man ipfw
>
>allow | accept | pass | permit
>Allow packets that match rule.  The search terminates.
>
>хм... это совсем всем двойка?
>вот все что Вы имели честь писать это о ipfw вообще или
>применительно лишь к нашем случаю, а то я тоже щас как
>начну придераться... к запятым =)
>а как объяснити ниже следущее?
>у меня до divert стоит
>allow ip from 192.168.0.0/16 to me
>allow ip from me to 192.168.0.0/16
>тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это
>правило? ДА! так перебор правил как я понял с ваших слов
>и "man ipfw" прекращается после прохождения allow, Ура! но далее идут
>правила:
>divert 8668 ip from any to any out via ed0
>divert 8668 ip from any to any in via ed0
>
>первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще
>NАТ), а второе проделывает обратное "превращение"
>внимание вопрос! что должен divert'ить divert если пакет попал под правило
>allow из ваших рассуждений получается что тут ни чего уже больше
>не происходит и не работает... приплыли... СТОП! а ведь работает! вы
>сударь наверное теоретик, а статейки у вас не плохие! :)
>Удачи!
Ты сам понял что написал?
Во-первых что скрывается под me?
Во-вторых какие у тебя интерфейсы и для чего?
В-третьих что чем маскируется в НАТе?
В-четвертых в sysctl глянь значение вышеупомянутой переменной.
А теперь эмпирическая модель:
есть три интерфейса на одном сеть 192.168.0.0/16, на втором 10.0.0.0/8,
на третьем ed0 чего-то реальное, вся 10-я сетка дивертится в НАТ, теперь что такое me? это может быть какой-нибудь левый адресок напр 1.1.1.1 и тогда вся 192.168 тоже в НАТ. Это так набросочек, вариантов как понимает All масса.

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "ipfw dummnet - всем двойка!"

Сообщение от pev2000 (ok) on 14-Июн-04, 14:02  (MSK)

>Ты сам понял что написал?
конечно! и у меня это работает!
>Во-первых что скрывается под me?
а под _me_ скрываются все ip адреса данного компутера, это снова man ipfw
который галсит:
any     matches any IP address.
me      matches any IP address configured on an interface in the system.
        The address list is evaluated at the time the packet is analysed.
>Во-вторых какие у тебя интерфейсы и для чего?
Один в инет(ed0), один в локалку(fxp0), ну и еще один на dial-in (ppp0)
>В-третьих что чем маскируется в НАТе?
если правильно понял вопрос, за натом сидит все и локалка и модем
>В-четвертых в sysctl глянь значение вышеупомянутой переменной.
почитай топик внимательнее! оно равно 1
>А теперь эмпирическая модель:
>есть три интерфейса на одном сеть 192.168.0.0/16, на втором 10.0.0.0/8,
>на третьем ed0 чего-то реальное, вся 10-я сетка дивертится в НАТ, теперь
>что такое me? это может быть какой-нибудь левый адресок напр 1.1.1.1
>и тогда вся 192.168 тоже в НАТ. Это так набросочек, вариантов
>как понимает All масса.
Уважаемый вам man ipfw... до посидения! ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "ipfw dummnet - всем двойка!"

Сообщение от khan (??) on 14-Июн-04, 15:56  (MSK)

>>Ты сам понял что написал?
>конечно! и у меня это работает!
>
>>Во-первых что скрывается под me?
>а под _me_ скрываются все ip адреса данного компутера, это снова man
>ipfw
>который галсит:
>any     matches any IP address.
>me      matches any IP address configured on
>
>>В-четвертых в sysctl глянь значение вышеупомянутой переменной.
>почитай топик внимательнее! оно равно 1
>
>Уважаемый вам man ipfw... до посидения! ;)
Ну ладно с me у нас не сложилось. Но ага поставь allow ip from 192.168.0.0/16 to any и посмотрим как у тебя пакеты до диверта дойдут.
Они приходят на машину allow ip from 192.168.0.0/16 to me
У тебя дефолт роут стоит ?! Идут туда с 192.168.0.0/16 пока только уже не на me, а на интерфейс присоединенный к дефолт гейтвею.И очень странным кажется то, что проходя через фаерволл опять, они попадают в НАТ.

Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "ipfw dummnet - всем Удачи!!!"

Сообщение от pev2000 (ok) on 14-Июн-04, 17:49  (MSK)

>Ну ладно с me у нас не сложилось. Но ага поставь allow
>ip from 192.168.0.0/16 to any и посмотрим как у тебя пакеты
>до диверта дойдут.
естественно не дайдут!
а ты знаешь для чего я вообще добавил эти правила( to me / from me)?
>Они приходят на машину allow ip from 192.168.0.0/16 to me
>У тебя дефолт роут стоит ?! Идут туда с 192.168.0.0/16 пока только
>уже не на me, а на интерфейс присоединенный к дефолт гейтвею.И
>очень странным кажется то, что проходя через фаерволл опять, они попадают
>в НАТ.
да все работает, пакет проходит через весь список правил! и обрабатывается правилами только подходящими правилами... вот так!
правило allow ip from 192.168.0.0/16 to me
подходит так как это шлюз дальше срабатывает divert, pipe, fwd и deny того что не надо... все работает!
P.S. Мы совсем отошли от темы "кто вперед divert или pipe?"

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "ipfw dummnet - всем двойка!"

Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 14-Июн-04, 13:02  (MSK)

> и не только allow,
> man ipfw
> allow | accept | pass | permit
> Allow packets that match rule.  The search terminates.
Правильно. Но вот deny надо размещать ДО divert, т.к. divert+natd меняют IP-номера и порты; и желательно до шейпинга, дабы запрещённые (убитые) пакеты не засчитывались в трафик. Обычно deny срабатывает на входе пакета в машину, а divert - на выходе (точнее - на внутреннем и внешнем интерфейсе соотвественно, просто мы счиаем, что клиенты внутри, а серверы снаружи). Короче, сия задача нетривиальна есмь.
PS: Только не надо тут обсуждать разницу между deny и reject...
> хм... это совсем всем двойка?
Ну, тем, кто успел написАть до того, как я прочитал (а ответы я пишу небыстро). Может, кого и пропустил...
> вот все что Вы имели честь писать это о ipfw вообще или применительно лишь к нашем случаю, а то я тоже щас как начну придераться... к запятым =)
Скорее, к данному случаю. НаписАть общие рекомендации - работа на неделю.
> а как объяснити ниже следущее? у меня до divert стоит
> allow ip from 192.168.0.0/16 to me
> allow ip from me to 192.168.0.0/16
> тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это правило? ДА!
Смотря кому направлен этот пакет. IMHO, natd всё равно не станет маскарадить пакет, идущий к локальной машине, а пакеты к нелокальной машине просвистят сквоь эти правила.
> так перебор правил как я понял с ваших слов и "man ipfw" прекращается после прохождения allow, Ура!
> но далее идут правила:
> divert 8668 ip from any to any out via ed0
> divert 8668 ip from any to any in via ed0
> первое изменяет ip-src в пакете на ip сервера (делает маскарад, для меня проще NАТ), а второе проделывает обратное "превращение"
Вообще говоря, уже неправильно. Правила ничего не меняют, а только передают пакеты natd-демону, который там кто-то меняет.
> внимание вопрос! что должен divert'ить divert если пакет попал под правило allow из ваших рассуждений получается что тут ни чего уже больше не происходит и не работает... приплыли... СТОП! а ведь работает!
Я не понял, про какое "правило allow из моих рассуждений" идёт речь. Если мы рассматриваем набор правил
allow ip from 192.168.0.0/16 to me
allow ip from me to 192.168.0.0/16
divert 8668 ip from any to any out via ed0
divert 8668 ip from any to any in via ed0
то дивертиться будут только транзитные пакеты, чего нам и требуется.
> вы сударь наверное теоретик,
Свою статью по IP-маршрутизации я написАл по собственной практике. А склонность к теоретическим обобщениям у меня очень ярко выражена...
> а статейки у вас не плохие! :)
Статейки я пишу в расчёте на тех, кто понимант мало, и потому там рассматриваю всё подробно. А тут нет места расписывать все случаи - отсюда и недомолвки.

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "ipfw dummnet - всем двойка!"

Сообщение от pev2000 (ok) on 14-Июн-04, 15:24  (MSK)

>и порты; и желательно до шейпинга, дабы запрещённые (убитые) пакеты не
>засчитывались в трафик. Обычно deny срабатывает на входе пакета в машину,
>а divert - на выходе (точнее - на внутреннем и внешнем
>интерфейсе соотвественно, просто мы счиаем, что клиенты внутри, а серверы снаружи).
>Короче, сия задача нетривиальна есмь.
правильный учет трафика, считать ли deny трафик или не считать, это совсем другая история!
>Если мы рассматриваем набор правил
> allow ip from 192.168.0.0/16 to me
> allow ip from me to 192.168.0.0/16
> divert 8668 ip from any to any out via ed0
> divert 8668 ip from any to any in via ed0
>то дивертиться будут только транзитные пакеты, чего нам и требуется.
хорошо, будут дивертиться
хе-хе... сел утром поглядел как у меня пакетики ходят с модема (ppp0 - 192.168.255.1 -> 192.168.255.2) в инет(ed0) - весело! ;)
они проходят allow
потом проходят divert
и продолжают идти и искать подходящее правило
так что на одном allow не заканчивается странствия пакета по правилам!
>> вы сударь наверное теоретик,
>
>Свою статью по IP-маршрутизации я написАл по собственной практике. А склонность к
>теоретическим обобщениям у меня очень ярко выражена...
меня тоже заставляют писать, но вот в голове есть, а на бумагу сложно положить =(
>> а статейки у вас не плохие! :)
>
>Статейки я пишу в расчёте на тех, кто понимант мало, и потому
>там рассматриваю всё подробно. А тут нет места расписывать все случаи
>- отсюда и недомолвки.
вот всем бы кто туго соображает ;) почитать бы их всем доходчиво... дошло даже до меня ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "ipfw dummnet - всем двойка!"

Сообщение от Misha Volkov on 19-Июн-04, 20:01  (MSK)

Я не знаю кто чего на это ответит, но выскажу некоторые соображения по поводу прочитаного.
Для работи с фаерволов я использую два средства:
ipfw - для пайпов и каунтов
ipf & ipnat - для фильтрации и ната (редикекта и переброса на опр. порт)
и всем так рекомендую, потому что удобно.
Вот взаять к примеру natd. Кто сказал что он не может вывалится в самый неудобный момент? Никаких гарантий. Мало того, что ната не будет, так и все пакеты что дивертятся уйдут в никуда. А ipnat в ядре - сухо и комфортно, да и настроить можно гибко.
Синтаксис ipf напорядок оптимальней чем в ipfw. Никаких номеров правил, да и не нужны они при фильтрации. Есть структура груп, могут групы вкладываться одна в одну и потом проверка пакета проходит в заданой групе. На мой взгляд очень удобно.
Я тоже сначала использовал natd пока он не упал и к машине пропал доступ. Пришлось ехать в другой конец города.
Да и трафик с помощю ipf можно считать. Долго проверял совпадаит ли он с ipfw count - совпадает.
Жалею только об одном, что в пакете ipf до сих пор не сделали аналог пайпов :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw dummnet"
Сообщение от simba on 09-Июн-04, 21:54 (MSK)
кто нить могёт рабочий конфиг дать ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw dummnet"
	Сообщение от pev2000 (??) on 10-Июн-04, 00:25 (MSK)
	>кто нить могёт рабочий конфиг дать ? ########################################################################## fwcmd="/sbin/ipfw -q" ${fwcmd} -f flush local="192.168.0.0/16" opers="192.168.1.1/28" cafe="192.168.1.16/28" #Создание шлюза для всех =) ${fwcmd} add 98 divert natd ip from any to any in via ed0 ${fwcmd} add 99 divert natd ip from any to any out via ed0 ## а вот тут мы зло обрежем скорость прокачки с порта 8080 прокси сервера # ${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via fxp0 ${fwcmd} pipe 103 config bw ${oper_speed} # ${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via fxp0 ${fwcmd} pipe 104 config bw ${cafe_speed} ########################################################################## P.S. С тебя пива!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw dummnet"
	Сообщение от simba on 10-Июн-04, 18:36 (MSK)
	>>кто нить могёт рабочий конфиг дать ? > >########################################################################## > >fwcmd="/sbin/ipfw -q" >${fwcmd} -f flush > >local="192.168.0.0/16" >opers="192.168.1.1/28" >cafe="192.168.1.16/28" > >#Создание шлюза для всех =) >${fwcmd} add 98 divert natd ip from any to any in via >ed0 >${fwcmd} add 99 divert natd ip from any to any out via >ed0 > >## а вот тут мы зло обрежем скорость прокачки с порта 8080 >прокси сервера ># >${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via >fxp0 >${fwcmd} pipe 103 config bw ${oper_speed} ># >${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via >fxp0 >${fwcmd} pipe 104 config bw ${cafe_speed} >########################################################################## > >P.S. С тебя пива! еще маленький вопрос всё таки до или после диверта. ставлю после у меня не работает
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw dummnet"
	Сообщение от pev2000 (ok) on 10-Июн-04, 20:27 (MSK)
	>>${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via >>fxp0 >>${fwcmd} pipe 103 config bw ${oper_speed} >># >>${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via >>fxp0 >>${fwcmd} pipe 104 config bw ${cafe_speed} >>########################################################################## >> >>P.S. С тебя пива! >еще маленький вопрос всё таки до или после диверта. >ставлю после у меня не работает гы... так прям и поставил? ;-) совсем головой не хочешь думать!!! не добавил я эти строки: cafe_speed="30000bit/s" oper_speed="42000bit/s" а если переменая скорости = 0 скорость не обрезается
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw dummnet"
	Сообщение от simba on 11-Июн-04, 08:46 (MSK)
	>>>${fwcmd} add 103 pipe 103 tcp from me 8080 to ${opers} via >>>fxp0 >>>${fwcmd} pipe 103 config bw ${oper_speed} >>># >>>${fwcmd} add 104 pipe 104 tcp from me 8080 to ${cafe} via >>>fxp0 >>>${fwcmd} pipe 104 config bw ${cafe_speed} >>>########################################################################## >>> >>>P.S. С тебя пива! >>еще маленький вопрос всё таки до или после диверта. >>ставлю после у меня не работает > > >гы... так прям и поставил? ;-) > >совсем головой не хочешь думать!!! >не добавил я эти строки: > >cafe_speed="30000bit/s" >oper_speed="42000bit/s" > >а если переменая скорости = 0 скорость не обрезается :lol: ясный пень ,токо мне надо круче выпендриться делю всё полосу на всех . поэтому 0. делаю очереди .с определённык айпишников weight 80 у других другой (30), если ставить до диверта то работают но со стороны пользователей не заметно. если после диверта то не работают вот конфиг rl0 inside interface rl0 outside ${fwcmd} pipe 1 config 0 ${fwcmd} queue 1 config pipe 1 weight 10 ${fwcmd} queue 2 config pipe 1 weight 90 ${fwcmd} queue 3 config pipe 1 weight 20 ${fwcmd} add 100 queue 1 ip from 10.10.2.16/28 to 10.10.2.1 via rl0 ${fwcmd} add 200 queue 1 ip from 10.10.2.1 to 10.10.2.16/28 via rl0 ${fwcmd} add 300 queue 1 ip from 10.10.2.1 to 10.10.2.32/28 via rl0 ${fwcmd} add 400 queue 1 ip from 10.10.2.32/28 to 10.10.2.1 via rl0 ${fwcmd} add 500 queue 1 ip from 10.10.2.48/28 to 10.10.2.1 via rl0 ${fwcmd} add 600 queue 1 ip from 10.10.2.1 to 10.10.2.48/28 via rl0 ${fwcmd} add 700 queue 1 ip from 10.10.2.64/26 to 10.10.2.1 via rl0 ${fwcmd} add 800 queue 1 ip from 10.10.2.1 to 10.10.2.64/26 via rl0 ${fwcmd} add 900 queue 1 ip from 10.10.2.128/25 to 10.10.2.1 via rl0 ${fwcmd} add 1000 queue 1 ip from 10.10.2.1 to 10.10.2.128/25 via rl0 ${fwcmd} add 1100 queue 2 ip from 10.10.2.0/28 to 10.10.2.1 via rl0 ${fwcmd} add 1200 queue 2 ip from 10.10.2.1 to 10.10.2.0/28 via rl0 ${fwcmd} add 1300 queue 3 tcp from 10.10.2.0/24 to any pop3 via rl0 ${fwcmd} add 1400 queuq 3 tcp from 10.10.2.0/24 to any stmp via rl0 ${fwcmd} add 1500 queue 3 tcp from any to 10.10.2.0/24 pop3 via rl0 ${fwcmd} add 1600 queue 3 tcp from any to 10.10.2.0/24 smtp via rl0 ${fwcmd} add 1700 allow all from any to any via gif0 ${fwcmd} add 1800 allow udp from a.b.c.d to q.w.e.r isakmp ${fwcmd} add 1900 allow udp from q.w.e.r to a.b.c.d isakmp ${fwcmd} add 2000 allow esp from q.w.e.r to a.b.c.d ${fwcmd} add 2100 allow esp from a.b.c.d to q.w.e.r ${fwcmd} add 2200 allow ipencap from q.w.e.r to a.b.c.d ${fwcmd} add 2300 allow ipencap from a.b.c.d to q.w.e.r ${fwcmd} add allow log logamount 100 tcp from 10.10.2.0/24 to 10.10.2.1 ${fwcmd} add allow log logamount 100 tcp from 10.10.2.1 to 10.10.2.0/24 case ${natd_enable} in [Yy][Ee][Ss]) if [ -n "${natd_interface}" ]; then ${fwcmd} add divert natd all from any to any via ${natd_interface} fi ;; esac ..... зы: думать пытаюс. просто не видел статьи где бы правильно описывалось очереёдность строк в ipfw
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw dummnet"
	Сообщение от A Clockwork Orange on 11-Июн-04, 10:23 (MSK)
	$fwcmd add prob 0.90 pipe 1 tcp from any 80,443 to 192.168.0.1/24 $fwcmd pipe 1 config bw 9200bit/s mask dst-ip 0x00000000 Вопрос. to 192.168.0.1/24 тут указвается вроде как не сеть а хост, везде так.. Разъясните этот момент пожалуйста
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw dummnet"
	Сообщение от simba on 11-Июн-04, 10:36 (MSK)
	>$fwcmd add prob 0.90 pipe 1 tcp from any 80,443 to 192.168.0.1/24 > >$fwcmd pipe 1 config bw 9200bit/s mask dst-ip 0x00000000 > >Вопрос. > >to 192.168.0.1/24 > >тут указвается вроде как не сеть а хост, везде так.. Разъясните этот >момент пожалуйста 192.168.0.1/24 - это сеть :) /24 это побитовая маска http://home.mark-itt.ru/~sen/cgi-bin/ipcalc.cgi?host=192.168.0.1&mask=24 изучай^^^^^
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw dummnet"
	Сообщение от A Clockwork Orange on 11-Июн-04, 11:27 (MSK)
	Ну и покажи хоть один хост в этой сети
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ipfw dummnet"
	Сообщение от pev2000 (ok) on 11-Июн-04, 12:33 (MSK)
	>Ну и покажи хоть один хост в этой сети если ты имел честь заглянуть по приведеной ссылке - http://home.mark-itt.ru/~sen/cgi-bin/ipcalc.cgi?host=192.168.0.1&mask=24 "сеть" 192.168.0.1/24 - есть сеть 192.168.0.0/24, а вообще если поэксперементировать на продакшине :-D то можно понять что есть "сеть" 192.168.0.254/24, где: первый хост - 192.168.0.1 последний - 192.168.0.254 но если уж придераться то по правилам описывать нужно как 192.168.0.0/24, или 192.168.1.0/24, или 192.168.2.0/24, продолжать? ;-) что придераешься... работает и хорошо... ну и что что не по стандартам... они их не читали... Удачи в эксперементах!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "ipfw dummnet"
	Сообщение от A Clockwork Orange on 11-Июн-04, 15:45 (MSK)
	А вот тебе статься http://ipfw.ism.kiev.ua/nipfw.html /sbin/ipfw pipe 1 config bw 1000Kbit/s /sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000 /sbin/ipfw queue 2 config pipe 2 weight 75 mask dst-ip 0x00000000 /sbin/ipfw add queue 1 ip from any to 192.168.0.1/25 /sbin/ipfw add queue 2 ip from any to 192.168.0.128/25 даст некоторый проиоритет в использовании канала пользователям с адресами, большими 192.168.0.128. Это неплохой инструмент для VIP-обслуживания некоторых абонентов сети без "глобального" ущемления прав рядовых пользователей: если никому из VIP-группы в данный момент канал не нужен, то обычные пользователи делят между собой пропускную способность поровну, но если VIP-абоненту понадобились услуги - простые пользователи автоматически подвигаются ...(процент за использование идеи можно присылать мне - о способе передачи договоримся :) ладно, шучу - пользуйтесь за так) Аналогичным образом можно, например, дать приоритет использования канала любителям поиграть через Интернет (отправив через привелегированную очередь пакеты с известных игровых серверов) за счет "качальщиков". /sbin/ipfw pipe 1 config bw 1000Kbit/s /sbin/ipfw queue 1 config pipe 1 weight 50 mask dst-ip 0x00000000 /sbin/ipfw add queue 1 ip from any to 192.168.0.1/24 справедливо разделит пропускную способность в 1 мегабит между всеми пользователями сети, т.к. очереди равноприоритетны (пакеты будут выходить из пользовательских очередей "по очереди") Что Вы на это скажете по поводу этого?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "ipfw dummnet"
	Сообщение от pev2000 (ok) on 14-Июн-04, 15:32 (MSK)
	>А вот тебе статься >http://ipfw.ism.kiev.ua/nipfw.html статья есть перевод "man ipfw", для новичков полезная штука!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

10. "ipfw dummnet"
Сообщение от pev2000 (ok) on 11-Июн-04, 12:52 (MSK)
>Подскажите правила для pipe должны идти до divert или после ? У меня все правила стоят и работают после диверта, единственое что стоит до диверта это count с интерфейсов
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "ipfw dummnet"
	Сообщение от simba on 11-Июн-04, 16:54 (MSK)
	>>Подскажите правила для pipe должны идти до divert или после ? > >У меня все правила стоят и работают после диверта, единственое что стоит >до диверта это count с интерфейсов получается , если ты до диверта пакеты никакие не режишь,а сразу всё впускаешь или выпускаешь из своей сети. помоему это не совсем правильно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "ipfw dummnet"
	Сообщение от khan (??) on 11-Июн-04, 17:34 (MSK)
	>>Подскажите правила для pipe должны идти до divert или после ? > >У меня все правила стоят и работают после диверта, единственое что стоит >до диверта это count с интерфейсов Ну вот собственно в мане все написано просто и доходчиво. Для каждого пакета идет в фаерволе перебор правил до совпадения, и если оно произошло, пакет обрабатывается и дальнейший поиск прекращается. Это не касается ipfw count, после совпадения с этим правилом перебор продолжается, и зависит от переменной net.inet.ip.fw.one_pass. 00010 pipe 1 ip from any to any via rl0 01061 count ip from 192.168.100.106 to any via ng30 01062 count ip from any to 192.168.100.106 via ng30 01071 pipe 2 ip from any to 192.168.100.105 08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 09000 divert 8668 ip from any to 193.9.165.10 09010 pipe 3 ip from 192.168.100.0/24 to any 09010 pipe 4 ip from any to 193.9.165.10 50000 allow ip from any to any 65535 deny ip from any to any Итак В пайп 1 попадают все пакеты, проходящие чарез rl0 В каунт все что идет на/с 192.168.100.106 В пайп 2 все на 192.168.100.105 В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от него до этого правила не доходят, они уже обработаны. В пайп 3 попадают пакеты с 192.168.100.0/24 которые не идут через fxp0 И в пайп 4 не попадает ни одного пакета
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "ipfw dummnet"
	Сообщение от pev2000 (ok) on 11-Июн-04, 17:53 (MSK)
	>от переменной net.inet.ip.fw.one_pass. и в данном случае у тебя оно 1 или 0? :-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "ipfw dummnet"
	Сообщение от khan (??) on 12-Июн-04, 14:06 (MSK)
	>>от переменной net.inet.ip.fw.one_pass. > >и в данном случае у тебя оно 1 или 0? :-) В данном - 1, у меня оно всегда один, а то если 0 после некоторых совпадений пакеты снова в фаерволл загоняются и хрен потом разберешься по каким правилам еще пакет проходит
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "ipfw dummnet"
	Сообщение от pev2000 (ok) on 12-Июн-04, 16:46 (MSK)
	>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит >от переменной net.inet.ip.fw.one_pass. которая у тебя как и у меня = 1 > >00010 pipe 1 ip from any to any via rl0 >01061 count ip from 192.168.100.106 to any via ng30 >01062 count ip from any to 192.168.100.106 via ng30 >01071 pipe 2 ip from any to 192.168.100.105 >08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 >09000 divert 8668 ip from any to 193.9.165.10 >09010 pipe 3 ip from 192.168.100.0/24 to any >09010 pipe 4 ip from any to 193.9.165.10 >50000 allow ip from any to any >65535 deny ip from any to any > >Итак В пайп 1 попадают все пакеты, проходящие чарез rl0 >В каунт все что идет на/с 192.168.100.106 >В пайп 2 все на 192.168.100.105 >В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от >него до этого правила не доходят, они уже обработаны. обработаны кем count'ом? #man ipfw count Update counters for all packets that match rule. The search continues with the next rule. значит по твоему 192.168.100.106 в инет не ходит? так на кой считать что ходит от него/к нему? :) абсурд! ;) и вообще правила какие то веселые =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "ipfw dummnet"
	Сообщение от ppa on 13-Июн-04, 00:38 (MSK)
	>>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит >>от переменной net.inet.ip.fw.one_pass. > которая у тебя как и у меня = 1 >> >>00010 pipe 1 ip from any to any via rl0 >>01061 count ip from 192.168.100.106 to any via ng30 >>01062 count ip from any to 192.168.100.106 via ng30 >>01071 pipe 2 ip from any to 192.168.100.105 >>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 >>09000 divert 8668 ip from any to 193.9.165.10 >>09010 pipe 3 ip from 192.168.100.0/24 to any >>09010 pipe 4 ip from any to 193.9.165.10 >>50000 allow ip from any to any >>65535 deny ip from any to any >> >>Итак В пайп 1 попадают все пакеты, проходящие чарез rl0 >>В каунт все что идет на/с 192.168.100.106 >>В пайп 2 все на 192.168.100.105 >>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от >>него до этого правила не доходят, они уже обработаны. нужно ограничивать действие диверта или трубы интерфейсом тогда можно будет сделать чтобы эти пакеты попали в фаервол _как бы_ еще раз например если у тебя все юзеры из это сетки висят на ng* то можно сделать так: 08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 09000 divert 8668 ip from any to 193.9.165.10 09010 pipe 3 ip from any to any via ng* in 09010 pipe 4 ip from any to any via ng* out -- ppa
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "ipfw dummnet"
	Сообщение от khan (??) on 14-Июн-04, 11:58 (MSK)
	>>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит >>01061 count ip from 192.168.100.106 to any via ng30 >>01062 count ip from any to 192.168.100.106 via ng30 >>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 >> >>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от >>него до этого правила не доходят, они уже обработаны. > >обработаны кем count'ом? > >#man ipfw >count Update counters for all packets that match rule. >The search continues with the next rule. > >значит по твоему 192.168.100.106 в инет не ходит? так на кой считать >что ходит от него/к нему? :) >абсурд! ;) Ну это я конечно прогнал, см первое предложение, да и если было бы allow то на выходе пакеты все равно попадали бы в НАТ, т.к. в правилах указано через какие интерфейсы они идут. ..........to any via ng30 ..........to any out xmit fxp0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

18. "ipfw dummnet - всем двойка!"
Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 13-Июн-04, 23:47 (MSK)
Все правила ipfw обрабатываются дважды - на входе пакета и на выходе. Если ты используешь divert ->в natd для маскарадинга, то на divert работает только на внешнем интерфейсе, а на внутреннем и происходит shaping (но его надо ставить до allow, а то allow прерывает просмотр правил).
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "ipfw dummnet - всем двойка!"
	Сообщение от pev2000 (ok) on 14-Июн-04, 02:14 (MSK)
	>Все правила ipfw обрабатываются дважды - на входе пакета и на выходе. Если ты используешь divert ->в natd для маскарадинга, то на divert работает только на внешнем интерфейсе, а на внутреннем и происходит shaping (но его надо ставить до allow, а то allow прерывает просмотр правил). и не только allow, man ipfw allow \| accept \| pass \| permit Allow packets that match rule. The search terminates. хм... это совсем всем двойка? вот все что Вы имели честь писать это о ipfw вообще или применительно лишь к нашем случаю, а то я тоже щас как начну придераться... к запятым =) а как объяснити ниже следущее? у меня до divert стоит allow ip from 192.168.0.0/16 to me allow ip from me to 192.168.0.0/16 тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это правило? ДА! так перебор правил как я понял с ваших слов и "man ipfw" прекращается после прохождения allow, Ура! но далее идут правила: divert 8668 ip from any to any out via ed0 divert 8668 ip from any to any in via ed0 первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще NАТ), а второе проделывает обратное "превращение" внимание вопрос! что должен divert'ить divert если пакет попал под правило allow из ваших рассуждений получается что тут ни чего уже больше не происходит и не работает... приплыли... СТОП! а ведь работает! вы сударь наверное теоретик, а статейки у вас не плохие! :) Удачи!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "ipfw dummnet - всем двойка!"
	Сообщение от khan (??) on 14-Июн-04, 12:15 (MSK)
	>и не только allow, >man ipfw > >allow \| accept \| pass \| permit >Allow packets that match rule. The search terminates. > >хм... это совсем всем двойка? >вот все что Вы имели честь писать это о ipfw вообще или >применительно лишь к нашем случаю, а то я тоже щас как >начну придераться... к запятым =) >а как объяснити ниже следущее? >у меня до divert стоит >allow ip from 192.168.0.0/16 to me >allow ip from me to 192.168.0.0/16 >тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это >правило? ДА! так перебор правил как я понял с ваших слов >и "man ipfw" прекращается после прохождения allow, Ура! но далее идут >правила: >divert 8668 ip from any to any out via ed0 >divert 8668 ip from any to any in via ed0 > >первое изменяет ip-src в пакете на ip сервера(делает маскарад, для меня проще >NАТ), а второе проделывает обратное "превращение" >внимание вопрос! что должен divert'ить divert если пакет попал под правило >allow из ваших рассуждений получается что тут ни чего уже больше >не происходит и не работает... приплыли... СТОП! а ведь работает! вы >сударь наверное теоретик, а статейки у вас не плохие! :) >Удачи! Ты сам понял что написал? Во-первых что скрывается под me? Во-вторых какие у тебя интерфейсы и для чего? В-третьих что чем маскируется в НАТе? В-четвертых в sysctl глянь значение вышеупомянутой переменной. А теперь эмпирическая модель: есть три интерфейса на одном сеть 192.168.0.0/16, на втором 10.0.0.0/8, на третьем ed0 чего-то реальное, вся 10-я сетка дивертится в НАТ, теперь что такое me? это может быть какой-нибудь левый адресок напр 1.1.1.1 и тогда вся 192.168 тоже в НАТ. Это так набросочек, вариантов как понимает All масса.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "ipfw dummnet - всем двойка!"
	Сообщение от pev2000 (ok) on 14-Июн-04, 14:02 (MSK)
	>Ты сам понял что написал? конечно! и у меня это работает! >Во-первых что скрывается под me? а под _me_ скрываются все ip адреса данного компутера, это снова man ipfw который галсит: any matches any IP address. me matches any IP address configured on an interface in the system. The address list is evaluated at the time the packet is analysed. >Во-вторых какие у тебя интерфейсы и для чего? Один в инет(ed0), один в локалку(fxp0), ну и еще один на dial-in (ppp0) >В-третьих что чем маскируется в НАТе? если правильно понял вопрос, за натом сидит все и локалка и модем >В-четвертых в sysctl глянь значение вышеупомянутой переменной. почитай топик внимательнее! оно равно 1 >А теперь эмпирическая модель: >есть три интерфейса на одном сеть 192.168.0.0/16, на втором 10.0.0.0/8, >на третьем ed0 чего-то реальное, вся 10-я сетка дивертится в НАТ, теперь >что такое me? это может быть какой-нибудь левый адресок напр 1.1.1.1 >и тогда вся 192.168 тоже в НАТ. Это так набросочек, вариантов >как понимает All масса. Уважаемый вам man ipfw... до посидения! ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "ipfw dummnet - всем двойка!"
	Сообщение от khan (??) on 14-Июн-04, 15:56 (MSK)
	>>Ты сам понял что написал? >конечно! и у меня это работает! > >>Во-первых что скрывается под me? >а под _me_ скрываются все ip адреса данного компутера, это снова man >ipfw >который галсит: >any matches any IP address. >me matches any IP address configured on > >>В-четвертых в sysctl глянь значение вышеупомянутой переменной. >почитай топик внимательнее! оно равно 1 > >Уважаемый вам man ipfw... до посидения! ;) Ну ладно с me у нас не сложилось. Но ага поставь allow ip from 192.168.0.0/16 to any и посмотрим как у тебя пакеты до диверта дойдут. Они приходят на машину allow ip from 192.168.0.0/16 to me У тебя дефолт роут стоит ?! Идут туда с 192.168.0.0/16 пока только уже не на me, а на интерфейс присоединенный к дефолт гейтвею.И очень странным кажется то, что проходя через фаерволл опять, они попадают в НАТ.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	27. "ipfw dummnet - всем Удачи!!!"
	Сообщение от pev2000 (ok) on 14-Июн-04, 17:49 (MSK)
	>Ну ладно с me у нас не сложилось. Но ага поставь allow >ip from 192.168.0.0/16 to any и посмотрим как у тебя пакеты >до диверта дойдут. естественно не дайдут! а ты знаешь для чего я вообще добавил эти правила( to me / from me)? >Они приходят на машину allow ip from 192.168.0.0/16 to me >У тебя дефолт роут стоит ?! Идут туда с 192.168.0.0/16 пока только >уже не на me, а на интерфейс присоединенный к дефолт гейтвею.И >очень странным кажется то, что проходя через фаерволл опять, они попадают >в НАТ. да все работает, пакет проходит через весь список правил! и обрабатывается правилами только подходящими правилами... вот так! правило allow ip from 192.168.0.0/16 to me подходит так как это шлюз дальше срабатывает divert, pipe, fwd и deny того что не надо... все работает! P.S. Мы совсем отошли от темы "кто вперед divert или pipe?"
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "ipfw dummnet - всем двойка!"
	Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 14-Июн-04, 13:02 (MSK)
	> и не только allow, > man ipfw > allow \| accept \| pass \| permit > Allow packets that match rule. The search terminates. Правильно. Но вот deny надо размещать ДО divert, т.к. divert+natd меняют IP-номера и порты; и желательно до шейпинга, дабы запрещённые (убитые) пакеты не засчитывались в трафик. Обычно deny срабатывает на входе пакета в машину, а divert - на выходе (точнее - на внутреннем и внешнем интерфейсе соотвественно, просто мы счиаем, что клиенты внутри, а серверы снаружи). Короче, сия задача нетривиальна есмь. PS: Только не надо тут обсуждать разницу между deny и reject... > хм... это совсем всем двойка? Ну, тем, кто успел написАть до того, как я прочитал (а ответы я пишу небыстро). Может, кого и пропустил... > вот все что Вы имели честь писать это о ipfw вообще или применительно лишь к нашем случаю, а то я тоже щас как начну придераться... к запятым =) Скорее, к данному случаю. НаписАть общие рекомендации - работа на неделю. > а как объяснити ниже следущее? у меня до divert стоит > allow ip from 192.168.0.0/16 to me > allow ip from me to 192.168.0.0/16 > тут есть allow и пакет из моей сети 192.168.1.0/24 попадает под это правило? ДА! Смотря кому направлен этот пакет. IMHO, natd всё равно не станет маскарадить пакет, идущий к локальной машине, а пакеты к нелокальной машине просвистят сквоь эти правила. > так перебор правил как я понял с ваших слов и "man ipfw" прекращается после прохождения allow, Ура! > но далее идут правила: > divert 8668 ip from any to any out via ed0 > divert 8668 ip from any to any in via ed0 > первое изменяет ip-src в пакете на ip сервера (делает маскарад, для меня проще NАТ), а второе проделывает обратное "превращение" Вообще говоря, уже неправильно. Правила ничего не меняют, а только передают пакеты natd-демону, который там кто-то меняет. > внимание вопрос! что должен divert'ить divert если пакет попал под правило allow из ваших рассуждений получается что тут ни чего уже больше не происходит и не работает... приплыли... СТОП! а ведь работает! Я не понял, про какое "правило allow из моих рассуждений" идёт речь. Если мы рассматриваем набор правил allow ip from 192.168.0.0/16 to me allow ip from me to 192.168.0.0/16 divert 8668 ip from any to any out via ed0 divert 8668 ip from any to any in via ed0 то дивертиться будут только транзитные пакеты, чего нам и требуется. > вы сударь наверное теоретик, Свою статью по IP-маршрутизации я написАл по собственной практике. А склонность к теоретическим обобщениям у меня очень ярко выражена... > а статейки у вас не плохие! :) Статейки я пишу в расчёте на тех, кто понимант мало, и потому там рассматриваю всё подробно. А тут нет места расписывать все случаи - отсюда и недомолвки.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "ipfw dummnet - всем двойка!"
	Сообщение от pev2000 (ok) on 14-Июн-04, 15:24 (MSK)
	>и порты; и желательно до шейпинга, дабы запрещённые (убитые) пакеты не >засчитывались в трафик. Обычно deny срабатывает на входе пакета в машину, >а divert - на выходе (точнее - на внутреннем и внешнем >интерфейсе соотвественно, просто мы счиаем, что клиенты внутри, а серверы снаружи). >Короче, сия задача нетривиальна есмь. правильный учет трафика, считать ли deny трафик или не считать, это совсем другая история! >Если мы рассматриваем набор правил > allow ip from 192.168.0.0/16 to me > allow ip from me to 192.168.0.0/16 > divert 8668 ip from any to any out via ed0 > divert 8668 ip from any to any in via ed0 >то дивертиться будут только транзитные пакеты, чего нам и требуется. хорошо, будут дивертиться хе-хе... сел утром поглядел как у меня пакетики ходят с модема (ppp0 - 192.168.255.1 -> 192.168.255.2) в инет(ed0) - весело! ;) они проходят allow потом проходят divert и продолжают идти и искать подходящее правило так что на одном allow не заканчивается странствия пакета по правилам! >> вы сударь наверное теоретик, > >Свою статью по IP-маршрутизации я написАл по собственной практике. А склонность к >теоретическим обобщениям у меня очень ярко выражена... меня тоже заставляют писать, но вот в голове есть, а на бумагу сложно положить =( >> а статейки у вас не плохие! :) > >Статейки я пишу в расчёте на тех, кто понимант мало, и потому >там рассматриваю всё подробно. А тут нет места расписывать все случаи >- отсюда и недомолвки. вот всем бы кто туго соображает ;) почитать бы их всем доходчиво... дошло даже до меня ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	28. "ipfw dummnet - всем двойка!"
	Сообщение от Misha Volkov on 19-Июн-04, 20:01 (MSK)
	Я не знаю кто чего на это ответит, но выскажу некоторые соображения по поводу прочитаного. Для работи с фаерволов я использую два средства: ipfw - для пайпов и каунтов ipf & ipnat - для фильтрации и ната (редикекта и переброса на опр. порт) и всем так рекомендую, потому что удобно. Вот взаять к примеру natd. Кто сказал что он не может вывалится в самый неудобный момент? Никаких гарантий. Мало того, что ната не будет, так и все пакеты что дивертятся уйдут в никуда. А ipnat в ядре - сухо и комфортно, да и настроить можно гибко. Синтаксис ipf напорядок оптимальней чем в ipfw. Никаких номеров правил, да и не нужны они при фильтрации. Есть структура груп, могут групы вкладываться одна в одну и потом проверка пакета проходит в заданой групе. На мой взгляд очень удобно. Я тоже сначала использовал natd пока он не упал и к машине пропал доступ. Пришлось ехать в другой конец города. Да и трафик с помощю ipf можно считать. Долго проверял совпадаит ли он с ipfw count - совпадает. Жалею только об одном, что в пакете ipf до сих пор не сделали аналог пайпов :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх