URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72237
[ Назад ]
Исходное сообщение
"Счетчики IPFW"
Отправлено kostyk , 15-Фев-07 16:35 
делаю ipfw sh
Выдаёт:
00050 75829 28582232 divert 8668 ip from any to any via vr0
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny log logamount 50 ip from any to 127.0.0.0/8
00300 0 0 deny log logamount 50 ip from 127.0.0.0/8 to any
00450 0 0 deny log logamount 50 ip from any to 0.0.0.0/8 in via vr0
00460 0 0 deny log logamount 50 ip from any to 10.0.0.0/8 in via vr0
00470 0 0 deny log logamount 50 ip from any to 172.16.0.0/16 in via vr0
00480 0 0 deny log logamount 50 ip from any to 192.168.0.0/24 in via vr0
01000 0 0 reject log logamount 50 tcp from any to any not established tcpflags fin
01010 0 0 reject log logamount 50 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
01020 0 0 reject log logamount 50 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
65000 165428 57582333 allow ip from any to any
65535 8 3394 deny ip from any to any

Получается что счетчики считают только трафик который относится к правилам номер 65000 и правилу номер 50.
Затем делаю с локальной тачки чтоб проверить правило номер 1000
nmap -sF
Нмап сканирует успешно тачку показывая какие есть порты, фильтрующиеся,но не в лог не в счетчиках не показывается что было сканирование пакетами с установленным флагом FIN.
Почему так?

Содержание
Сообщения в этом обсуждении
"Счетчики IPFW"
Отправлено AnzUl , 15-Фев-07 16:52 
А в ядре случайно TCP_DROP_SYN_FIN не стоит?
"Счетчики IPFW"
Отправлено kostyk , 15-Фев-07 17:21 
>А в ядре случайно TCP_DROP_SYN_FIN не стоит?
Нет в ядре такого не стоит!!!

"Счетчики IPFW"
Отправлено kostyk , 15-Фев-07 17:24 
>А в ядре случайно TCP_DROP_SYN_FIN не стоит?
просто ещё странно то что в /var/log/security есть такая строка:
00480 0 0 deny log logamount 50 ip from any to 192.168.0.0/24 in via vr0
смотрю на это правило но в счетчиках 0 0 байт