форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPFW"
Сообщение от vacula on 08-Янв-03, 13:04  (MSK)
На машине 3 сетевухи прописываю правила для всех трех 00400    485    99567 pipe 1 ip from any to any out xmit ed0 00450  70529  4385324 pipe 2 ip from any to any in recv ed0 00500 117966 19652859 allow ip from 12.19.62.8 to any via xl1 00550 110510 69939617 allow ip from any to 12.19.62.8 via xl1 00600 132999 82262745 allow ip from 10.0.7.2 to any via xl0 00650 116513 14380973 allow ip from any to 10.0.7.2 via xl0 65000 167706 35020718 allow ip from any to any вопрос откуда берется трафик из правила 65000???
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: IPFW"
Сообщение от LinaS on 08-Янв-03, 15:16  (MSK)
>На машине 3 сетевухи >прописываю правила для всех трех > >00400    485    99567 pipe 1 ip >from any to any out xmit ed0 >00450  70529  4385324 pipe 2 ip from any to any >in recv ed0 >00500 117966 19652859 allow ip from 12.19.62.8 to any via xl1 >00550 110510 69939617 allow ip from any to 12.19.62.8 via xl1 >00600 132999 82262745 allow ip from 10.0.7.2 to any via xl0 >00650 116513 14380973 allow ip from any to 10.0.7.2 via xl0 >65000 167706 35020718 allow ip from any to any >вопрос >откуда берется трафик из правила 65000??? я так понимаю, ed0 у тебя в инет? получается видимо следующее: на примере xl1 пакеты приходят на xl1 с хоста 12.19.62.8 и в этот момент являются входящими соответственно их прохождение разрешается правилом 500 дальше пакет (если он в инет предназначен) уходит с ed0, для которого он является исходящим, и правила для него кроме 65000 нет... вот и траффик... соответственно в другую сторону... а вот на 10.0.7.2 у тебя видимо инета нет...ибо частный адрес (?) это справедливо, если у тебя переменная sysctl net.inet.ip.fw.one_pass=0
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: IPFW"
	Сообщение от vacula on 08-Янв-03, 16:37  (MSK)
	Ок понял Но переменная net.inet.ip.fw.one_pass у меня сейчас =1 буду менять на 0 В связи с этим вопрос можно ли это сделать без файла /etc/sysctl.conf а где в ядре прописать. Ксати у меня такое ощущение что правила типа pipe обрабатываются как-то по другому, в другой очередности. Я прав? И как именно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: IPFW"
	Сообщение от LinaS on 08-Янв-03, 17:41  (MSK)
	>Ок >понял > >Но переменная net.inet.ip.fw.one_pass у меня сейчас =1 буду менять на 0 >В связи с этим вопрос можно ли это сделать без файла /etc/sysctl.conf >а где в ядре прописать. > >Ксати у меня такое ощущение что правила типа pipe обрабатываются как-то по >другому, в другой очередности. Я прав? И как именно? ага тогда я не права... потому что при таком значении этой переменной у тебя все через внешний интерфейс без проблем сразу проходит и до последнего правила не доходит... еще одно соображение: явного правила про lo0 нет - значит все что ходит по loopback попадет туда же... можно просто из командной строки сказать: sysctl net.inet.ip.fw.one_pass=0 # или 1 что надо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.