URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 48455
[ Назад ]
Исходное сообщение
"снимите с ручника"
Отправлено uzer , 19-Сен-04 13:43 
имеем:
Фря 4.10,
три сетевухи:
rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1)

правила ipfw:
ipfw allow tcp from any to 192.168.2.2 via rl0
ipfw allow tcp from 192.168.2.2 to any via rl0
ipfw deny ip from any to 192.168.0.21 via rl0
ipfw deny ip from 192.168.0.21 to any via rl0
ipfw allow ip from any to any

проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https

Содержание
Сообщения в этом обсуждении
"снимите с ручника"
Отправлено autumn , 19-Сен-04 13:48 
>ipfw deny ip from any to 192.168.0.21 via rl0
Хм, а почему deny стоит в правилах, ежли не секрет?


"снимите с ручника"
Отправлено uzer , 19-Сен-04 14:26 
>>ipfw deny ip from any to 192.168.0.21 via rl0
>Хм, а почему deny стоит в правилах, ежли не секрет?


потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать им reject, мне кажется, будет жирно.

"снимите с ручника"
Отправлено autumn , 19-Сен-04 14:45 
>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать
>им reject, мне кажется, будет жирно.
Ну дык ему(юзверю) надо разрешить хождение через 80 порт, а так, насколько я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь.


"снимите с ручника"
Отправлено uzer , 19-Сен-04 14:58 
>>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать
>>им reject, мне кажется, будет жирно.
>Ну дык ему(юзверю) надо разрешить хождение через 80 порт,

ему нужен https, а это 443 порт. К тому же я открыл все порты по протокулу tcp.

а так, насколько >я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь.
>


я сначала открываю к опеределнному айпи, а потом режу все.

"снимите с ручника"
Отправлено Дмитрий Ю. Карпов , 20-Сен-04 10:31 
Попробуй добавить правила
ipfw count ip from any to 192.168.0.21
ipfw count ip from 192.168.0.21 to any
в промежутки между твоими правилами. Затем попробуй обратиться с 192.168.0.21 на 192.168.2.2 по https и посмотри, как будут крутиться счётчики - так ты выяснишь, какое правило режет пакеты.

Правило
ipfw deny ip from any to 192.168.0.21 via rl0
вообще лишнее для защиты от вирусов, идущих с 192.168.0.21.

Кроме того, можно попробовать включить логи на deny-правила (только писАть их в отдельный файл и следить, чтоб диск не переполнился).

PS: Дай команду 'ipfw show' и убедись, что правила те самые, какие нужно.

"снимите с ручника"
Отправлено kolayshkin , 20-Сен-04 10:48 
>имеем:
>Фря 4.10,
>три сетевухи:
>rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1)
>
>правила ipfw:
>ipfw allow tcp from any to 192.168.2.2 via rl0
>ipfw allow tcp from 192.168.2.2 to any via rl0
>ipfw deny ip from any to 192.168.0.21 via rl0
>ipfw deny ip from 192.168.0.21 to any via rl0
>ipfw allow ip from any to any
>
>проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https
Попробуй убрать via rl0 (либо поставь via rl2). А лучше конечно включи лог на этот адрес и смотри что за пакеты идут.

"снимите с ручника"
Отправлено kogotok , 20-Сен-04 18:18 
>имеем:
>Фря 4.10,
>три сетевухи:
>rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1)
>
>правила ipfw:
>ipfw allow tcp from any to 192.168.2.2 via rl0
>ipfw allow tcp from 192.168.2.2 to any via rl0
>ipfw deny ip from any to 192.168.0.21 via rl0
>ipfw deny ip from 192.168.0.21 to any via rl0
>ipfw allow ip from any to any
>
>проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https
net.inet.ip.forwarding=1

"снимите с ручника"
Отправлено uzer , 20-Сен-04 21:16 
включил лог

не хватало правил
ipfw add allow udp from 192.168.0.21 to any 53
ipfw add allow udp from any 53 to 192.168.0.21


всем спасибо, вопрос исчерпан