URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85957
[ Назад ]
Исходное сообщение
"Помогите пожалуйста с конфигом ipfw (вроде бы работает, но...)"
Отправлено Виталий из Петербурга , 14-Июл-09 20:01 
Добрый день.
Есть вот такой конфиг, который работает, только после добавления правила allow ip from any to any keep-state
Цель, выпустить всех наружу
rl0-внешний

Где косяк?

00100      24       1200 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400       0          0 deny ip from 192.168.0.254 to any in via rl0
00500       0          0 deny ip from 93.190.226.190 to any in via xl0
00600       8        719 deny ip from any to 10.0.0.0/8 via rl0
00700       0          0 deny ip from any to 172.16.0.0/12 via rl0
00800   16961    1699931 deny ip from any to 192.168.0.0/16 via rl0
00900       0          0 deny ip from any to 0.0.0.0/8 via rl0
01000       0          0 deny ip from any to 169.254.0.0/16 via rl0
01100       0          0 deny ip from any to 192.0.2.0/24 via rl0
01200       5        148 deny ip from any to 224.0.0.0/4 via rl0
01300       0          0 deny ip from any to 240.0.0.0/4 via rl0
01400 4634864 3020975097 divert 8668 ip from any to any via rl0
01500    5219     696844 allow tcp from any to me dst-port 22 keep-state
01600 7300439 5685764568 allow ip from 192.168.0.0/24 to any keep-state
01700 1995862  365835899 allow ip from any to any keep-state
01800       0          0 deny log logamount 100 tcp from any to any in via rl0 setup
01900       0          0 allow icmp from me to any keep-state
02000       0          0 allow icmp from any to me keep-state
02100       0          0 allow udp from me to any dst-port 53 keep-state
65535       1         67 deny ip from any to any

Содержание
Сообщения в этом обсуждении
"Помогите пожалуйста с конфигом ipfw (вроде бы работает, но....."
Отправлено PavelR , 14-Июл-09 20:12 

дык всё же работает, что еще нужно :-) ?

Не хватает правила check-state

косяк "классический" - нет уточнения направления движения пакета, в роутер или из него, т.е. нет понимания, что пакет проходит файрволл два раза, на входе и на выходе. В т.ч. требуется понимание того, в какое место вставлять этот check, потому что неправильное применение приведет к отсутствию заворачивания пакета на диверт.

Стандартный rc.firewall многое умеет, советую посмотреть в него.

"Помогите пожалуйста с конфигом ipfw (вроде бы работает, но....."
Отправлено Виталий из Петербурга , 14-Июл-09 21:58 
>дык всё же работает, что еще нужно :-) ?

Слишком размыто правило, чтобы мое ЧСВ было успокоено

>Не хватает правила check-state
>косяк "классический" - нет уточнения направления движения пакета, в роутер или из
>него, т.е. нет понимания, что пакет проходит файрволл два раза, на
>входе и на выходе. В т.ч. требуется понимание того, в какое
>место вставлять этот check, потому что неправильное применение приведет к отсутствию
>заворачивания пакета на диверт.

А можно поподробнее?

>Стандартный rc.firewall многое умеет, советую посмотреть в него.

Не поверишь, вожусь со стандартным rc.firewall в учебных целях.

Я правильно понимаю, что мне надо просто вместо keep-state написать check-state
Написать via (внутренний интерфейс)?