The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPFW rules(Z)? :)"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPFW rules(Z)? :)"
Сообщение от Dr. Nebula emailИскать по авторуВ закладки on 04-Май-03, 01:47  (MSK)
Всем привет
Народ, помогите разобраться
имеем след. набор правил
00100 3712 1184874 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400 4170 1869093 allow tcp from any to any established
00500    0       0 allow ip from any to any frag
00600  157    9292 allow tcp from me to any out xmit tun0 setup
00700  294   30522 allow udp from me to any keep-state out xmit tun0
00800    0       0 allow icmp from me to any keep-state out xmit tun0
65000   16     880 deny log logamount 500 ip from any to any
65535    0       0 deny ip from any to any

использую их при диалапе. Все в принципе нормально, но хочется что бы 65000 правило не просто блокировало все входящие запросы, а выдавало что-нить типа "хост недоступен". Но deny заменить на unreach host то тогда блокируется только первый входящий пакет, а в дальнейшем тот же например пинг идет нормально - так как моя машина отправила ICMP пакет и создала этим динамическое правило (800).
Кто-нть может подсказать - что изменить в этом наборе что бы по прежнему быть закрытым но давать "отлупы"? :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "IPFW rules(Z)? :)"
Сообщение от Dr. Nebula emailИскать по авторуВ закладки on 05-Май-03, 00:05  (MSK)
есть кто живой то? :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW rules(Z)? :)"
Сообщение от poige emailИскать по авторуВ закладки on 05-Май-03, 13:20  (MSK)
>Всем привет
>Народ, помогите разобраться
>имеем след. набор правил

[...]

>типа "хост недоступен". Но deny заменить на unreach host то тогда
>блокируется только первый входящий пакет, а в дальнейшем тот же например
>пинг идет нормально - так как моя машина отправила ICMP пакет
>и создала этим динамическое правило (800).

Это, скорее, ошибка реализации firewall'а "ipfw". Если использовать такую же логику на ipfilter, "все будет пучком".

>Кто-нть может подсказать - что изменить в этом наборе что бы по
>прежнему быть закрытым но давать "отлупы"? :)

Рекомендую send-pr и юзать ipfilter. Ковыряться тут, конечно, можно, но вряд ли нужно.

/poige

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру