URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91712
[ Назад ]
Исходное сообщение
"Некорректная обработка правил IPFW"
Отправлено good_night , 07-Июн-11 13:26 
Доброго всем.
Имеется 7.3.
Хочу сделать ее открытой только для нескольких ip.

#!/bin/sh
fw="/sbin/ipfw -q "
$fw -f flush
$fw add check-state
$fw -f pipe flush
$fw -f queue flush
IIF="ng0"
NatIP="2.2.2.2"
LanOut="rl0"
LanIn="rl1"
LanIp="192.168.1.2"
$fw nat 1 config if ${IIF}
$fw add 10 nat 1 ip from 192.168.1.0/24 to any
$fw add 20 nat 1 ip from any to me

${fw} add allow ip from  any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ только с таким правилом

${fw} add allow ip from ${LanIp} to any in via ${LanIn}
${fw} add allow ip from any to ${LanIp} out via ${LanIn}
${fw} add deny all from any to any

Понятное дело,правило работает через жопу.
${fw} add allow ip from 100.100.100.100 to me не катит.
Подскажите,пожалуйста.Где ошибся?Спасибо

Содержание
Сообщения в этом обсуждении
"Некорректная обработка правил IPFW"
Отправлено kerilka , 07-Июн-11 15:19 
>[оверквотинг удален]
> $fw add 10 nat 1 ip from 192.168.1.0/24 to any
> $fw add 20 nat 1 ip from any to me
> ${fw} add allow ip from  any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ
> только с таким правилом
> ${fw} add allow ip from ${LanIp} to any in via ${LanIn}
> ${fw} add allow ip from any to ${LanIp} out via ${LanIn}
> ${fw} add deny all from any to any
> Понятное дело,правило работает через жопу.
> ${fw} add allow ip from 100.100.100.100 to me не катит.
> Подскажите,пожалуйста.Где ошибся?Спасибо

ipfw sh покажите для начала) а то сначала у вас правило добавляется с номером 100, потом вы вносите под номерами 10 и 20 правила ната...

"Некорректная обработка правил IPFW"
Отправлено good_night , 07-Июн-11 17:06 
> ipfw sh покажите для начала) а то сначала у вас правило добавляется
> с номером 100, потом вы вносите под номерами 10 и 20
> правила ната...

den# ipfw show
00010 64969  8429505 nat 1 ip from 192.168.1.0/24 to any
00020 34809 15650940 nat 1 ip from any to me
00100     0        0 check-state
00200    29     1856 allow ip from any to 100.100.100.100
00300     0        0 allow ip from 192.168.1.2 to any in via rl1
00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1
00500 10024   432503 deny ip from any to any
65535   578    87343 allow ip from any to any

"Некорректная обработка правил IPFW"
Отправлено kerilka , 07-Июн-11 18:38 
>[оверквотинг удален]
> 00100     0      
>  0 check-state
> 00200    29     1856 allow ip
> from any to 100.100.100.100
> 00300     0      
>  0 allow ip from 192.168.1.2 to any in via rl1
> 00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1
> 00500 10024   432503 deny ip from any to any
> 65535   578    87343 allow ip from any
> to any

ну вот, всё ведь прозрачно) теперь видно, где запрещающее правило у вас идёт. теперь перед ним setup/established/allow (в зависимости от целей) с адресов, с которых можно заходить на него)

"Некорректная обработка правил IPFW"
Отправлено PavelR , 07-Июн-11 20:59 
>> ipfw sh покажите для начала) а то сначала у вас правило добавляется
>> с номером 100, потом вы вносите под номерами 10 и 20
>> правила ната...

Налицо непонимание работы ipfw:

1) транзитные пакеты проходят сквозь правила два раза - на входе и на выходе, надо писать правила с учетом этого факта
2) посмотрите man ipfw на тему one_pass, и всё что с этим связано.

"Некорректная обработка правил IPFW"
Отправлено good_night , 07-Июн-11 22:12 
>>> ipfw sh покажите для начала) а то сначала у вас правило добавляется
>>> с номером 100, потом вы вносите под номерами 10 и 20
>>> правила ната...
> Налицо непонимание работы ipfw:
> 1) транзитные пакеты проходят сквозь правила два раза - на входе и
> на выходе, надо писать правила с учетом этого факта
> 2) посмотрите man ipfw на тему one_pass, и всё что с этим
> связано.

Ребят,дико благодарен :)
net.inet.ip.fw.one_pass: 1 помогло.
Спасибо.
upd.не не помогло..буду разбираться дальше.