URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 12975
[ Назад ]

Исходное сообщение
"Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено kitkat , 05-Фев-02 18:39

ну все как обычно - 2 карты, nat, ipfw
В правилах прописано( по умолчанию все закрыто),
1. Диверт
2. Подсчет трафика
3. правила шейпер
4. правила файервола
Вопрос в следующем, если прописывать правила
шейпера до правил файервола то по команде ipfw show видно что трафик идет через pipe и до правил не доходит, если же заремарить правила шейпера то открывается весь канал юзверям и работаю правила, как совместить полезное с приятным ??
Спасибо всем ответившим...

Содержание

RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),Nightman, 08:12 , 06-Фев-02
- RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),Mikka, 11:55 , 06-Фев-02
  - RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),kitkat, 12:40 , 06-Фев-02
- RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),kitkat, 12:57 , 06-Фев-02
  - RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),alexey, 13:07 , 06-Фев-02
    - RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),kitkat, 13:20 , 06-Фев-02
      - RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),Mikka, 14:18 , 06-Фев-02
        
        RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+),Mikka, 14:20 , 06-Фев-02
        
        2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,kitkat, 14:22 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,kitkat, 14:30 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,Mikka, 14:48 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,kitkat, 15:18 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,Mikka, 16:05 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,kitkat, 17:58 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,MF_FLIP, 19:30 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,kitkat, 19:38 , 06-Фев-02
        
        RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз.,Mikka, 12:36 , 07-Фев-02

Сообщения в этом обсуждении

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено Nightman , 06-Фев-02 08:12

>ну все как обычно - 2
>карты, nat, ipfw
>
>В правилах прописано( по умолчанию все
>закрыто),
>1. Диверт
>2. Подсчет трафика
>3. правила шейпер
>4. правила файервола
>
>Вопрос в следующем, если прописывать правила
>
>шейпера до правил файервола то по
>команде ipfw show видно что
>трафик идет через pipe и
>до правил не доходит, если
>же заремарить правила шейпера то
>открывается весь канал юзверям и
>работаю правила, как совместить полезное
>с приятным ??
>
>Спасибо всем ответившим...
Срабатывает первое правило которое удовлетворяет критерию-исходя из этого и настраивай

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено Mikka , 06-Фев-02 11:55

Цитат (может, поможет ;-)))
pipe pipe_nr
Pass packet to a dummynet(4) ``pipe'' (for bandwidth limitation, delay, etc.). See the TRAFFIC SHAPER CONFIGURATION section for further information. The search terminates; however, on exit from the pipe and if the sysctl(8) variable net.inet.ip.fw.one_pass is not set, the packet is passed again to the firewall code starting from the next rule.
Поменяй значение перменной.

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено kitkat , 06-Фев-02 12:40

>Поменяй значение перменной.
это в каком месте??
и в какой очередности должны идти правилa...??

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено kitkat , 06-Фев-02 12:57

>Срабатывает первое правило которое удовлетворяет критерию-исходя
>из этого и настраивай
Хех, это я понял,но вот как совместить полезное с приятным все таки? Count то к примеру работает так, сначала посчитал, потом правила отработали и все ок...

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено alexey , 06-Фев-02 13:07

>>Срабатывает первое правило которое удовлетворяет критерию-исходя
>>из этого и настраивай
>
>Хех, это я понял,но вот как
>совместить полезное с приятным все
>таки? Count то к примеру
>работает так, сначала посчитал, потом
>правила отработали и все ок...
>
sysctl -w net.inet.ip.fw.one_pass=0

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено kitkat , 06-Фев-02 13:20

>sysctl -w net.inet.ip.fw.one_pass=0
можно ли с комментариями, а?

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено Mikka , 06-Фев-02 14:18

у меня сначала идут правила pipe, затем firewall (т.е. как написано - пакет после пипы выходит и попадает на следующее правило)
насчет коментариев - man sysctl.
sysctl -w - устанавливает значение указанной системной переменной.
Посмотреть переменные - sysctl -a.

"RE: Отцы! Похелпите! как сделать так, что бы ipfw резал трафик и вместе с этим еще и как firewall работал?? (+)"
Отправлено Mikka , 06-Фев-02 14:20

Да, насчет подсчета - не проше ли использовать ipfm?

"2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено kitkat , 06-Фев-02 14:22

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено kitkat , 06-Фев-02 14:30

т.е. ты хочешь сказать, типа что на pipe оно показывает подсчет, а потом проходя через правило типа ipfw add pass tcp from any 80 to 192.168.0.1/24 оно тоже работает только по команде ipfw show - каунтиг не показывает, так что ли? И вообще как посмотреть работает ли правило или нет ? Я всегда смотрел по тому, что и через чего идет по кол-ву переданных пакетиков. Вот.

ipfm не робит что то, я его и так и сяк, не удалось =( и я забил на него =(

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено Mikka , 06-Фев-02 14:48

Это не я хочу сказать, это в мане написано, что если не установлена переменная, то пакет идет на следующее правило. Насчет подсчета не знаю, но по субъективнывм оценкам у меня живет и pipe и фильтрация.
Насчет считалки - не знаю.
Переменную переставь и посмотри как подсчет идет.

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено kitkat , 06-Фев-02 15:18

не работает pipe_nr ... у меня freebsd 4.2 может быть в ней нет ?

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено Mikka , 06-Фев-02 16:05

Чего не работает-то?
Какое значение у net.inet.ip.fw.one_pass ? (посмотреть можно sysctl net.inet.ip.fw.one_pass)
Ядро собрал с поддержкой dummynet?

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено kitkat , 06-Фев-02 17:58

>Чего не работает-то?
>Какое значение у net.inet.ip.fw.one_pass ? (посмотреть
>можно sysctl net.inet.ip.fw.one_pass)
во, ядрёна мать, с правилом разобрался, действительно если в ноль его то все работает, вот только вопрос, правильно ли пакетики рулят?
выполняются ли правила? И где можно в автомате поставить что бы в 0 она была при загрузке ФРИ.
>Ядро собрал с поддержкой dummynet?
ну дык жеж, а як жеж, может я и немного туповат, но до этого дошёль сам =))

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено MF_FLIP , 06-Фев-02 19:30

>И где можно
>в автомате поставить что бы
>в 0 она была при
>загрузке ФРИ.
/etc/sysctl.conf

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено kitkat , 06-Фев-02 19:38

>/etc/sysctl.conf
нет такого файла =(

"RE: 2 mikka, можно ли тебя немножко потерзать в мыле? кинь мне тогда свой е-мейл плиз."
Отправлено Mikka , 07-Фев-02 12:36

Вообщем, у тебя правда мыл с восклицательным знаком???;-)) А тоя послал не глядя, получил:
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
!cat@nipbm.rtsnet.ru
/etc/sysctl.conf нету - создай его сам ;-)))
И пропиши туда net.inet.ip.fw.one_pass=0
Все должно заработать при загрузке.