Приветствую. FreeBSD 6.4, на ней работает quagga и bgpd аннонсирует свою подсеть через интерфейс em0. em1 смотрит в локалку, до включения ipfw все отлично работает. После включения аннонс пропадает, вся AS ложится. Что не так в правилах ipfw?#!/bin/sh
ipfw='/sbin/ipfw -q'${ipfw} flush
${ipfw} resetlog${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 305 allow ip from any to any via em1
${ipfw} add 310 allow tcp from me to any keep-state via em0
${ipfw} add 320 allow icmp from any to any via em0
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to any 22,53,2605,179
${ipfw} add 410 allow ip from any to any 179
${ipfw} add 420 allow udp from any 53,123 to any
${ipfw} add 430 allow udp from any to any 53
${ipfw} add 65534 deny ip from any to any
---------
>[оверквотинг удален]
>${ipfw} add 310 allow tcp from me to any keep-state via em0
>
>${ipfw} add 320 allow icmp from any to any via em0
>${ipfw} add 350 allow ip from me to any
>${ipfw} add 400 allow tcp from any to any 22,53,2605,179
>${ipfw} add 410 allow ip from any to any 179
>${ipfw} add 420 allow udp from any 53,123 to any
>${ipfw} add 430 allow udp from any to any 53
>${ipfw} add 65534 deny ip from any to any
>---------1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации не сильно катят :)особенно с динамическими правилами
2) включаем лог для последнего deny правила и смотрим что оседает
>[оверквотинг удален]
>>${ipfw} add 400 allow tcp from any to any 22,53,2605,179
>>${ipfw} add 410 allow ip from any to any 179
>>${ipfw} add 420 allow udp from any 53,123 to any
>>${ipfw} add 430 allow udp from any to any 53
>>${ipfw} add 65534 deny ip from any to any
>>---------
>
>1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации
>не сильно катят :)особенно с динамическими правилами
>2) включаем лог для последнего deny правила и смотрим что оседаетКак бы можете быть смелее и сказать не man ipfw а "Пошел ты нахуй".
65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана не была.
any ===> me.
>Как бы можете быть смелее и сказать не man ipfw а "Пошел
>ты нахуй".какбэ я хотел сказать совсем другое, а имеено что вы, товаришь, не читали мана, так как сразу бросются в глаза откровенные ляпы в правилах, и даже намекнул в каких именно (но вот чтобы понять в каких и почему надо почитать ман :)
>65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана
>не была.
>any ===> me.я чесна хз че вам надо - но как посмотерть че блочится я также сказал ))
ЗЫ за смелость не волнуйтися - тут если че сразу пошлють )) и гораздо дальше ))