URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 75288
[ Назад ]

Исходное сообщение
"IPFW"

Отправлено admin_scar , 23-Июл-07 01:03 
Чем отличается  

allow tcp from any to 10.115.34.190 dst-port 22

от

allow tcp from any 22 to 10.115.34.190

Если ничем, то почему второй вариант не работает?
Заранее спасибо.


Содержание

Сообщения в этом обсуждении
"IPFW"
Отправлено crash , 23-Июл-07 02:26 
>Чем отличается
>
>allow tcp from any to 10.115.34.190 dst-port 22
>
>от
>
>allow tcp from any 22 to 10.115.34.190
>
>Если ничем, то почему второй вариант не работает?
>Заранее спасибо.

во втором варианте к вам должны коннектиться (то есть порт источника) с 22 порта.


"IPFW"
Отправлено admin_scar , 23-Июл-07 10:48 
>во втором варианте к вам должны коннектиться (то есть порт источника) с
>22 порта.

спасибо, ну а вот это почему не работает?
allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1

# rl1 - local interface


"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 10:59 
>>во втором варианте к вам должны коннектиться (то есть порт источника) с
>>22 порта.
>
>спасибо, ну а вот это почему не работает?
>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>
># rl1 - local interface

Напиши.

allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state

Будет  работать.


"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 11:00 
>[оверквотинг удален]
>>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>>
>># rl1 - local interface
>
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет  работать.

Ошися rl1


"IPFW"
Отправлено admin_scar , 23-Июл-07 11:09 
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет  работать.

а что такое setup keep-state ?
и почему не работает мой вариант, логически кажется правильно.



"IPFW"
Отправлено admin_scar , 23-Июл-07 11:19 
у меня есть 2 правила
00204 allow tcp from 192.168.0.138 80,25,110,5190,443 to any via rl1 setup keep-state
и
00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1


по первому трафик не идет, а по второму идет.

что опять не так делаю?
не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.


"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 11:35 
>[оверквотинг удален]
>

>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>

А что ты в итоге хочеш получить?


"IPFW"
Отправлено vvv , 23-Июл-07 11:37 
>[оверквотинг удален]
>

>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>

Как вариант - поставить самым первым правилом
00001 check-state
и тогда правило
00204 allow tcp from 192.168.0.138 to any via 80,25,110,5190,443 rl1 setup keep-state
заработает (keep-state указывает, что файрвол должен сам создать динамические правила для поддержки этого соединения).
Только посмотрите, я несколько исправил 204 правило, т.к. скорее всего подразумевалось, что клиент не с портов 80,25 и т.д. должен коннектиться, а наоборот - клиент должен коннектиться на эти порты (иметь доступ к почте, WWW, оскопленному ICQ и пр.)