URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59803
[ Назад ]

Исходное сообщение
"Непонятки с wipfw (Win32 ipfw)"
Отправлено dj_maxx , 06-Сен-05 10:22

В общем задача следующая: необходимо разрешить доступ только к указанным подсетям, и открыть для входящих соединений с них указанные порты. Исходящие соединения без ограничений.
Я написал следующие правила:
-f flush
add allow all from any to any via lo0
add allow icmp from any to any
add allow all from any to any via eth1 established
add allow all from any to 62.64.64.0/21 out via eth1 setup
add skipto 20000 all from 62.64.64.0/21 to any in via eth1 setup
...
далее аналогично задаются другие разрешенные подсети
...
add 19000 deny log all from any to any via eth1
add 20000 allow tcp from any to any 11463,6881,8181,12327,13889,20,21,53,80 in via eth1
add 20001 allow udp from any to any 11463,6881,8181,12327,13889,20,21,53,80 in via eth1
add 65535 deny log all from any to any via eth1
но почему-то все пакеты (в том числе и при установке НОВЫХ соединений) проходят через правило "add allow all from any to any via eth1 established"
PS: когда это правило убираю, то всё работает, но запрещает established, следовательно работать невозможно, т.к. оно-то конектится но последующие пакеты не пускает

Содержание

Непонятки с wipfw (Win32 ipfw),mAdDuke, 12:04 , 06-Сен-05
- Непонятки с wipfw (Win32 ipfw),dj_maxx, 16:35 , 06-Сен-05
  - Непонятки с wipfw (Win32 ipfw),mAdDuke, 04:44 , 07-Сен-05
- Непонятки с wipfw (Win32 ipfw),dj_maxx, 17:10 , 06-Сен-05
  - Непонятки с wipfw (Win32 ipfw),mAdDuke, 04:43 , 07-Сен-05
Непонятки с wipfw (Win32 ipfw),v0, 10:52 , 08-Сен-05

Сообщения в этом обсуждении

"Непонятки с wipfw (Win32 ipfw)"
Отправлено mAdDuke , 06-Сен-05 12:04

видимо это из-за первой буквы W в названии. :)
М.б. нужно add allow all from any to any out via eth1 established?
Из-за правила № 19000 не работают правила 20000 и 20001.

"Непонятки с wipfw (Win32 ipfw)"
Отправлено dj_maxx , 06-Сен-05 16:35

>видимо это из-за первой буквы W в названии. :)
>
>М.б. нужно add allow all from any to any out via eth1
>established?
>
попробую...
>Из-за правила № 19000 не работают правила 20000 и 20001.
Это почему же? На правило 20000 идет переход по skipto.
20001 выполнится если не выполнится 20000.
А там где skipto нет (для исходящих), там allow идет на нужные подсети. А если у нас "левый" адрес, то его зарубит 19000. Я правильно понимаю?

"Непонятки с wipfw (Win32 ipfw)"
Отправлено mAdDuke , 07-Сен-05 04:44

>Это почему же? На правило 20000 идет переход по skipto.
Сорри, просто в приведенном куске нет skip.

"Непонятки с wipfw (Win32 ipfw)"
Отправлено dj_maxx , 06-Сен-05 17:10

Да, еще вопрос по поводу смысла слова me:
add allow all from 62.64.64.0/21 to any in via eth1
и
add allow all from 62.64.64.0/21 to me via eth1
это одно и то же?

"Непонятки с wipfw (Win32 ipfw)"
Отправлено mAdDuke , 07-Сен-05 04:43

>Да, еще вопрос по поводу смысла слова me:
>
>add allow all from 62.64.64.0/21 to any in via eth1
разрешает пакеты от 62.64.64.0/21 куда угодно на ВХОДЕ в интерфейс eth1. Т.е. это правило проверяет пакеты на входе в интерфейс eth1
>add allow all from 62.64.64.0/21 to me via eth1
разрешает пакеты от 62.64.64.0/21 к себе (т.е. шлюзу, независимо от куда) через интерфейс eth1. Будет разрешать только те пакеты от сети 62.64.64.0/21, которые адресованы шлюзу, пришедшие с eth1.
Под me подразумевается сам шлюз. Дальше себя он эти пакеты не пустит.
А вообще ты меня не сильно слушай :) - я с Unix только 2 года, ещё электрочайник... %)

"Непонятки с wipfw (Win32 ipfw)"
Отправлено v0 , 08-Сен-05 10:52

опции established и setup ТОЛЬКО для tcp-соединений
пиши не для all протоколов а для tcp