https://opennet.ru/openforum/vsluhforumID1/73722.html Привет!<br>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо сделать правило которое сработает, но пропустит пакет дальше (чтобы он был также обработан еще одним правилом) - вроде ничего особенного, а в хелпах ipfw не нашел такого, правила tee, forward, divert - не то, мне не нужно перекидывать еще на другие порты, а просто пропустить пакет дальше как будто он только пришел и этот пакет уже примет другое правило<br><br>Подскажите пожалуйста какие могут быть решения?<br>Спасибо!<br> https://opennet.ru/openforum/vsluhforumID1/73722.html#10 Tue, 22 Nov 2011 02:05:06 GMT <br>&gt; есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает <br>&gt; - так вот мне надо некоторым пользователям иногда давать доступ перед <br>&gt; срабатыванием основных правил (тем более что там для одного это сделать <br>&gt; невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, <br>&gt; но он должен пройти и по основным правилам! пакет должен пройти <br>&gt; по основным независимо от того что я сделаю в верхних правилах <br>&gt; для какого-то юзера <br><br>можно использовать bpf в отличии от ipfw он не "выплевывает" после "срабатывания правила" а идет по списку правил дальше и по сути даже совсем не так: пакет прогоняется по всему списку правил в любом случае за исключением указания дериктивы -q явно обозначающей прекратить обработку при совпадении по правилу.<br><br> https://opennet.ru/openforum/vsluhforumID1/73722.html#9 Tue, 30 Mar 2010 18:44:20 GMT Вообще мимо ответ.<br><br>Автор топика прекрасно занет общие принципы настройки фаера, ему нужен конкретный синтаксис конкртеного файрволла. Так что ваш ответ по всем пунктам мимо кассы...<br> https://opennet.ru/openforum/vsluhforumID1/73722.html#8 Thu, 26 Apr 2007 17:53:19 GMT http://www.citforum.ru/security/internet/firewall.shtml<br>http://www.iptables.ru/ - хорошая дока по иптаблезу, в принципе все фв подчиняються одним и темже законам, толька синтаксис правил разный, и немножко специфические функции разлычны.<br>То что Вы хотите себе изобрести... такого в прероде ФВ невозможно. Т.к. скорость прохождения по интерфейсам пакетов зависит от скорости обработки ядра этих пакетов.<br>А любое ядро пускает пакет по перво-попавшемуся правилу удовлетворившему правило выборки.<br>т.е. пакет пойдет по первому правилу с данными ипом. далее пакет выплёвывается с ипа и интерфейс про него забывает.<br>То что хотите вы сделать... то необходимо составить скрипт с временной задержкой!<br>Читайке внимательнее доку по брандмауерам! https://opennet.ru/openforum/vsluhforumID1/73722.html#7 Thu, 26 Apr 2007 17:44:10 GMT &gt;Тогда точно skipto <br>&gt;<br>&gt;# пользовательские ("верхние", как ты сказал) правила <br>&gt;ipfw add 1000 skipto 10000 bla-bla-bla <br>&gt;ipfw add 1100 skipto 10000 bla-bla-bla <br>&gt;ipfw add 1100 skipto 10000 bla-bla-bla <br>&gt;<br>&gt;# основные правила <br>&gt;ipfw add 10000 bla-bla-bla <br>&gt;ipfw add 11000 bla-bla-bla <br>&gt;<br>&gt;man ipfw короче <br><br>а само правило skipto несет какое действие (pass/deny) или только "прыжок"?<br>если только перепрыгивает на другое - это не то :( должно быть в обоих правилах действие (pass/deny)<br> <br><br><br> https://opennet.ru/openforum/vsluhforumID1/73722.html#6 Thu, 26 Apr 2007 15:30:23 GMT Тогда точно skipto<br><br># пользовательские ("верхние", как ты сказал) правила<br>ipfw add 1000 skipto 10000 bla-bla-bla<br>ipfw add 1100 skipto 10000 bla-bla-bla<br>ipfw add 1100 skipto 10000 bla-bla-bla<br><br># основные правила<br>ipfw add 10000 bla-bla-bla<br>ipfw add 11000 bla-bla-bla<br><br>man ipfw короче https://opennet.ru/openforum/vsluhforumID1/73722.html#5 Thu, 26 Apr 2007 15:11:02 GMT <br>&gt;Не совсем понятно зачем такое нужно, но может skipto поможет? <br><br>есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает - так вот мне надо некоторым пользователям иногда давать доступ перед срабатыванием основных правил (тем более что там для одного это сделать невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, но он должен пройти и по основным правилам! пакет должен пройти по основным независимо от того что я сделаю в верхних правилах для какого-то юзера<br><br>надо, иначе бы не спрашивал<br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/73722.html#4 Thu, 26 Apr 2007 14:28:51 GMT &gt;Привет! <br>&gt;FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо <br>&gt;сделать правило которое сработает, но пропустит пакет дальше (чтобы он был <br>&gt;также обработан еще одним правилом) - вроде ничего особенного, а в <br>&gt;хелпах ipfw не нашел такого, правила tee, forward, divert - не <br>&gt;то, мне не нужно перекидывать еще на другие порты, а просто <br>&gt;пропустить пакет дальше как будто он только пришел и этот пакет <br>&gt;уже примет другое правило <br>&gt;<br>&gt;Подскажите пожалуйста какие могут быть решения? <br>&gt;Спасибо! <br><br><br>Не совсем понятно зачем такое нужно, но может skipto поможет? https://opennet.ru/openforum/vsluhforumID1/73722.html#3 Wed, 25 Apr 2007 17:34:28 GMT пример:<br><br>ipfw add 3300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0<br><br>пакет будет принят этим правилом и все, а вот надо этот пакет повторить на<br>аналогичное или похожее правило вот ниже:<br><br>ipfw add 5300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0<br><br> https://opennet.ru/openforum/vsluhforumID1/73722.html#2 Wed, 25 Apr 2007 17:24:01 GMT <br>&gt;<br>&gt;ipfw add xxx count ip from xxx to yyy via zzz0 <br><br>так это же правило просто посчета - а нормальное правило? ipfw add 1000 pass ...?<br><br>