делаю ipfw sh
Выдаёт:
00050 75829 28582232 divert 8668 ip from any to any via vr0
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny log logamount 50 ip from any to 127.0.0.0/8
00300 0 0 deny log logamount 50 ip from 127.0.0.0/8 to any
00450 0 0 deny log logamount 50 ip from any to 0.0.0.0/8 in via vr0
00460 0 0 deny log logamount 50 ip from any to 10.0.0.0/8 in via vr0
00470 0 0 deny log logamount 50 ip from any to 172.16.0.0/16 in via vr0
00480 0 0 deny log logamount 50 ip from any to 192.168.0.0/24 in via vr0
01000 0 0 reject log logamount 50 tcp from any to any not established tcpflags fin
01010 0 0 reject log logamount 50 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
01020 0 0 reject log logamount 50 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
65000 165428 57582333 allow ip from any to any
65535 8 3394 deny ip from any to anyПолучается что счетчики считают только трафик который относится к правилам номер 65000 и правилу номер 50.
Затем делаю с локальной тачки чтоб проверить правило номер 1000
nmap -sF
Нмап сканирует успешно тачку показывая какие есть порты, фильтрующиеся,но не в лог не в счетчиках не показывается что было сканирование пакетами с установленным флагом FIN.
Почему так?
А в ядре случайно TCP_DROP_SYN_FIN не стоит?
>А в ядре случайно TCP_DROP_SYN_FIN не стоит?
Нет в ядре такого не стоит!!!
>А в ядре случайно TCP_DROP_SYN_FIN не стоит?
просто ещё странно то что в /var/log/security есть такая строка:
00480 0 0 deny log logamount 50 ip from any to 192.168.0.0/24 in via vr0
смотрю на это правило но в счетчиках 0 0 байт