URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2140
[ Назад ]

Исходное сообщение
"Проблема с ipfw и established"

Отправлено Spectral_ngs , 16-Июн-05 14:42 
Доброе время суток
Вот не как не могу понять как влияет правило с established на его работу документацию читал много раз но похоже не понял объясните ...
в крации ...
вот мой firewall IP помененты по понятной причине
# cat firewall
#!/bin/sh

ipfw -q flush
ipfw add 10 allow ip from any to any via lo0
#DENY iz vne na 110,3128,8080
ipfw add 300 deny tcp from any to 212.xxx.xxx.xxx 110,3128,8080 via rl0 in
ipfw add 301 deny udp from any to 212.xxx.xxx.xxx 110,3128,8080 via rl0 in
#NAT
ipfw add 315 divert 8668 ip from any to any via rl0
#ALLOW iz vne na 25,53,80 dns
ipfw add 310 allow tcp from not 192.xxx.xxx.xxx0/24 to me 25,53,80

ipfw add 350 allow tcp from any to any established

#ALLOW localka po portam
ipfw add 510 allow tcp from 192.xxx.xxx.xxx0/24 to 192.xxx.xxx.xxx200 20,21,22,25,53,80,110,3128
#DNS
ipfw add 551 allow udp from 212.xxx.xxx.xxx to any 53 via rl0
ipfw add 552 allow udp from any 53 to 212.xxx.xxx.xxx via rl0

ipfw add 351 allow icmp from 212.xxx.xxx.xxx to any out icmptypes 8
ipfw add 352 allow icmp from any to 212.xxx.xxx.xxx in icmptypes 0,3,4,8,11
ipfw add 353 allow icmp from 192.xxx.xxx.xxx0/24 to 192.xxx.xxx.xxx0/24
ipfw add 354 allow icmp from 212.xxx.xxx.xxx to not 192.xxx.xxx.xxx0/24 via rl0 out
ipfw add 355 deny ip from any to any via rl0
ipfw add 356 allow ip from any to any via xl0 in
ipfw add 357 allow ip from any to 192.xxx.xxx.xxx0/24 via xl0 out

Все работает но стоит убрать
ipfw add 350 allow tcp from any to any established
то из локалки нельзя выйти в инет
почему так происходит как влияет это правило ?


Содержание

Сообщения в этом обсуждении
"Проблема с ipfw и established"
Отправлено Spectral_ngs , 16-Июн-05 15:10 
как можно на ipfw учесть весь входящий трафик к конкретному пользователю локальной сети если все ходят через нат ipfw add 315 divert 8668 ip from any to any via rl0

"Проблема с ipfw и established"
Отправлено Spectral_ngs , 16-Июн-05 15:36 
сори за совсем "тупой" вопрос, но как узнать чему равен трафик проходящий через ipfw при команде ipfw show показываются пакетыю, можно как-то посмотреть трафик в Мб или Кб или в байтах ?

"Проблема с ipfw и established"
Отправлено Settler , 17-Июн-05 01:50 
добавь в 355-е правило вести лог, и посмотри в /var/log/security
ipfw add 355 deny log ip from any to any via rl0

так будут показаны пакетики поторые были запрещены. а именно "ответы" внешнего мира на твои запросы.

established - "установленные/разрешенные" соединения. и например "ответы" проходят по этому правилу.