URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 42928
[ Назад ]

Исходное сообщение
"IPWF - все сходится, а ребеночек не наш"
Отправлено Sergey Galayda , 15-Апр-04 08:52

Помогите разобратся
FreeBSD, ipwf
стоят правила в следующем порядке
00023  count ip from 10.0.0.7 to any
00402  count ip from any to 10.0.0.7
04000  divert 8668 ip from any to any via ed0
04995  fwd 195.5.ххх.ххх ip from 10.0.0.7 to any
По моему мнению, количество пакетов прошедших через два первых правила должно было примерно равняться количеству пакетов завернутых на последнем.
На практике все совсем не так. На последнем пакетов проходит на порядок больше. Где грабли?

Содержание

IPWF - все сходится, а ребеночек не наш,Ham, 09:26 , 15-Апр-04
- IPWF - все сходится, а ребеночек не наш,pmd, 09:43 , 15-Апр-04
IPWF - все сходится, а ребеночек не наш,dawnshade, 10:37 , 15-Апр-04
- IPWF - все сходится, а ребеночек не наш,kolayshkin, 12:11 , 15-Апр-04

Сообщения в этом обсуждении

"IPWF - все сходится, а ребеночек не наш"
Отправлено Ham , 15-Апр-04 09:26

>Помогите разобратся
>FreeBSD, ipwf
>стоят правила в следующем порядке
>00023  count ip from 10.0.0.7 to any
>00402  count ip from any to 10.0.0.7
>04000  divert 8668 ip from any to any via ed0
>04995  fwd 195.5.ххх.ххх ip from 10.0.0.7 to any
>По моему мнению, количество пакетов прошедших через два первых правила должно было
>примерно равняться количеству пакетов завернутых на последнем.
>На практике все совсем не так. На последнем пакетов проходит на порядок
>больше. Где грабли?
Как я понял работает примерно так:
Считает пакеты для соеденений из внешней сети к адресу 10.0.0.7, потом считает пакеты для соеденений из внутренней сети к адресу 10.0.0.7 и опятсчитает пакеты бегущие из внешней сети во внутренню туда и обратно!
Бля, аж сам запарился!

"IPWF - все сходится, а ребеночек не наш"
Отправлено pmd , 15-Апр-04 09:43

>>Помогите разобратся
>>FreeBSD, ipwf
>>стоят правила в следующем порядке
>>00023  count ip from 10.0.0.7 to any
>>00402  count ip from any to 10.0.0.7
>>04000  divert 8668 ip from any to any via ed0
>>04995  fwd 195.5.ххх.ххх ip from 10.0.0.7 to any
>>По моему мнению, количество пакетов прошедших через два первых правила должно было
>>примерно равняться количеству пакетов завернутых на последнем.
>>На практике все совсем не так. На последнем пакетов проходит на порядок
>>больше. Где грабли?
Это все правила?
Советую поставить себе trafshow - пудово поймеш где протекает.

"IPWF - все сходится, а ребеночек не наш"
Отправлено dawnshade , 15-Апр-04 10:37

>Помогите разобратся
>FreeBSD, ipwf
>стоят правила в следующем порядке
>00023  count ip from 10.0.0.7 to any
>00402  count ip from any to 10.0.0.7
>04000  divert 8668 ip from any to any via ed0
>04995  fwd 195.5.ххх.ххх ip from 10.0.0.7 to any
>По моему мнению, количество пакетов прошедших через два первых правила должно было
>примерно равняться количеству пакетов завернутых на последнем.
>На практике все совсем не так. На последнем пакетов проходит на порядок
>больше. Где грабли?
На практике divert меняет scr ip.

"IPWF - все сходится, а ребеночек не наш"
Отправлено kolayshkin , 15-Апр-04 12:11

>>Помогите разобратся
>>FreeBSD, ipwf
>>стоят правила в следующем порядке
>>00023  count ip from 10.0.0.7 to any
>>00402  count ip from any to 10.0.0.7
>>04000  divert 8668 ip from any to any via ed0
>>04995  fwd 195.5.ххх.ххх ip from 10.0.0.7 to any
>>По моему мнению, количество пакетов прошедших через два первых правила должно было
>>примерно равняться количеству пакетов завернутых на последнем.
>>На практике все совсем не так. На последнем пакетов проходит на порядок
>>больше. Где грабли?
А как на счет широковещательного запроса на всю сеть? Пакеты то приходят, а вот обратно не уходят.