Привет!
FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо сделать правило которое сработает, но пропустит пакет дальше (чтобы он был также обработан еще одним правилом) - вроде ничего особенного, а в хелпах ipfw не нашел такого, правила tee, forward, divert - не то, мне не нужно перекидывать еще на другие порты, а просто пропустить пакет дальше как будто он только пришел и этот пакет уже примет другое правилоПодскажите пожалуйста какие могут быть решения?
Спасибо!
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!
ipfw add xxx count ip from xxx to yyy via zzz0
>
>ipfw add xxx count ip from xxx to yyy via zzz0так это же правило просто посчета - а нормальное правило? ipfw add 1000 pass ...?
пример:ipfw add 3300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0
пакет будет принят этим правилом и все, а вот надо этот пакет повторить на
аналогичное или похожее правило вот ниже:ipfw add 5300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!
Не совсем понятно зачем такое нужно, но может skipto поможет?
>Не совсем понятно зачем такое нужно, но может skipto поможет?есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает - так вот мне надо некоторым пользователям иногда давать доступ перед срабатыванием основных правил (тем более что там для одного это сделать невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, но он должен пройти и по основным правилам! пакет должен пройти по основным независимо от того что я сделаю в верхних правилах для какого-то юзера
надо, иначе бы не спрашивал
Тогда точно skipto# пользовательские ("верхние", как ты сказал) правила
ipfw add 1000 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla# основные правила
ipfw add 10000 bla-bla-bla
ipfw add 11000 bla-bla-blaman ipfw короче
>Тогда точно skipto
>
># пользовательские ("верхние", как ты сказал) правила
>ipfw add 1000 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>
># основные правила
>ipfw add 10000 bla-bla-bla
>ipfw add 11000 bla-bla-bla
>
>man ipfw корочеа само правило skipto несет какое действие (pass/deny) или только "прыжок"?
если только перепрыгивает на другое - это не то :( должно быть в обоих правилах действие (pass/deny)
http://www.citforum.ru/security/internet/firewall.shtml
http://www.iptables.ru/ - хорошая дока по иптаблезу, в принципе все фв подчиняються одним и темже законам, толька синтаксис правил разный, и немножко специфические функции разлычны.
То что Вы хотите себе изобрести... такого в прероде ФВ невозможно. Т.к. скорость прохождения по интерфейсам пакетов зависит от скорости обработки ядра этих пакетов.
А любое ядро пускает пакет по перво-попавшемуся правилу удовлетворившему правило выборки.
т.е. пакет пойдет по первому правилу с данными ипом. далее пакет выплёвывается с ипа и интерфейс про него забывает.
То что хотите вы сделать... то необходимо составить скрипт с временной задержкой!
Читайке внимательнее доку по брандмауерам!
Вообще мимо ответ.Автор топика прекрасно занет общие принципы настройки фаера, ему нужен конкретный синтаксис конкртеного файрволла. Так что ваш ответ по всем пунктам мимо кассы...
> есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает
> - так вот мне надо некоторым пользователям иногда давать доступ перед
> срабатыванием основных правил (тем более что там для одного это сделать
> невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ,
> но он должен пройти и по основным правилам! пакет должен пройти
> по основным независимо от того что я сделаю в верхних правилах
> для какого-то юзераможно использовать bpf в отличии от ipfw он не "выплевывает" после "срабатывания правила" а идет по списку правил дальше и по сути даже совсем не так: пакет прогоняется по всему списку правил в любом случае за исключением указания дериктивы -q явно обозначающей прекратить обработку при совпадении по правилу.