URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73722
[ Назад ]

Исходное сообщение
"Создать ipfw правило которое пропустит пакет дальше"

Отправлено HAN7 , 25-Апр-07 20:30 
Привет!
FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо сделать правило которое сработает, но пропустит пакет дальше (чтобы он был также обработан еще одним правилом) - вроде ничего особенного, а в хелпах ipfw не нашел такого, правила tee, forward, divert - не то, мне не нужно перекидывать еще на другие порты, а просто пропустить пакет дальше как будто он только пришел и этот пакет уже примет другое правило

Подскажите пожалуйста какие могут быть решения?
Спасибо!


Содержание

Сообщения в этом обсуждении
"Создать ipfw правило которое пропустит пакет дальше"
Отправлено Broot , 25-Апр-07 20:32 
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!


ipfw add xxx count ip from xxx to yyy via zzz0


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено HAN7 , 25-Апр-07 21:24 

>
>ipfw add xxx count ip from xxx to yyy via zzz0

так это же правило просто посчета - а нормальное правило? ipfw add 1000 pass ...?


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено HAN7 , 25-Апр-07 21:34 
пример:

ipfw add 3300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0

пакет будет принят этим правилом и все, а вот надо этот пакет повторить на
аналогичное или похожее правило вот ниже:

ipfw add 5300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено GloryS , 26-Апр-07 18:28 
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!


Не совсем понятно зачем такое нужно, но может skipto поможет?


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено HAN7 , 26-Апр-07 19:11 

>Не совсем понятно зачем такое нужно, но может skipto поможет?

есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает - так вот мне надо некоторым пользователям иногда давать доступ перед срабатыванием основных правил (тем более что там для одного это сделать невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, но он должен пройти и по основным правилам! пакет должен пройти по основным независимо от того что я сделаю в верхних правилах для какого-то юзера

надо, иначе бы не спрашивал



"Создать ipfw правило которое пропустит пакет дальше"
Отправлено Nimdar , 26-Апр-07 19:30 
Тогда точно skipto

# пользовательские ("верхние", как ты сказал) правила
ipfw add 1000 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla

# основные правила
ipfw add 10000 bla-bla-bla
ipfw add 11000 bla-bla-bla

man ipfw короче


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено HAN7 , 26-Апр-07 21:44 
>Тогда точно skipto
>
># пользовательские ("верхние", как ты сказал) правила
>ipfw add 1000 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>
># основные правила
>ipfw add 10000 bla-bla-bla
>ipfw add 11000 bla-bla-bla
>
>man ipfw короче

а само правило skipto несет какое действие (pass/deny) или только "прыжок"?
если только перепрыгивает на другое - это не то :(  должно быть в обоих правилах действие (pass/deny)



"Создать ipfw правило которое пропустит пакет дальше"
Отправлено PixeL , 26-Апр-07 21:53 
http://www.citforum.ru/security/internet/firewall.shtml
http://www.iptables.ru/ - хорошая дока по иптаблезу, в принципе все фв подчиняються одним и темже законам, толька синтаксис правил разный, и немножко специфические функции разлычны.
То что Вы хотите себе изобрести... такого в прероде ФВ невозможно. Т.к. скорость прохождения по интерфейсам пакетов зависит от скорости обработки ядра этих пакетов.
А любое ядро пускает пакет по перво-попавшемуся правилу удовлетворившему правило выборки.
т.е. пакет пойдет по первому правилу с данными ипом. далее пакет выплёвывается с ипа и интерфейс про него забывает.
То что хотите вы сделать... то необходимо составить скрипт с временной задержкой!
Читайке внимательнее доку по брандмауерам!

"Создать ipfw правило которое пропустит пакет дальше"
Отправлено alpha_Qu4z4r , 30-Мрт-10 22:44 
Вообще мимо ответ.

Автор топика прекрасно занет общие принципы настройки фаера, ему нужен конкретный синтаксис конкртеного файрволла. Так что ваш ответ по всем пунктам мимо кассы...


"Создать ipfw правило которое пропустит пакет дальше"
Отправлено sibgaz , 22-Ноя-11 06:05 

> есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает
> - так вот мне надо некоторым пользователям иногда давать доступ перед
> срабатыванием основных правил (тем более что там для одного это сделать
> невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ,
> но он должен пройти и по основным правилам! пакет должен пройти
> по основным независимо от того что я сделаю в верхних правилах
> для какого-то юзера

можно использовать bpf в отличии от ipfw он не "выплевывает" после "срабатывания правила" а идет по списку правил дальше и по сути даже совсем не так: пакет прогоняется по всему списку правил в любом случае за исключением указания дериктивы -q явно обозначающей прекратить обработку при совпадении по правилу.