Есть сервер для приема дайилап пользователей FreeBSD 4.4
Правила
allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
deny log ip from 192.168.0.0/16 to any in recv fxp0
deny log ip from any to 192.168.0.0.0/16 via fxp0
deny log ip from any to 172.16.0.0/12 via fxp0
deny log ip from any to 10.0.0.0/8 via fxp0
deny ip from any to 0.0.0.0/8 via fxp0
deny ip from any to 169.254.0.0/16 via fxp0
deny ip from any to 192.0.2.0/24 via fxp0
deny ip from any to 224.0.0.0/4 via fxp0
deny ip from any to 240.0.0.0/4 via fxp0
allow ip from any to any via ppp*
divert 8668 ip from any to any via fxp0
deny log ip from 192.168.0.0/16 to any via fxp0
deny log ip from 172.16.0.0/12 to any via fxp0
deny log ip from 10.0.0.0/8 to any via fxp0
deny ip from 0.0.0.0/8 to any via fxp0
deny ip from 169.254.0.0/16 to any via fxp0
deny ip from 192.0.2.0/24 to any via fxp0
deny ip from 224.0.0.0/4 to any via fxp0
deny ip from 240.0.0.0/4 to any via fxp0
allow ip from any to any
deny ip from any to any
Правило
allow ip from any to any via ppp*
вообще не понимается из за интерфейса
И возникают такие строки в логе
Jan 16 10:15:26 na /kernel: ipfw: 500 Deny TCP 195.34.32.101:110 192.168.102.56:1173 out via fxp0
Jan 16 10:16:05 na last message repeated 3 times
по правилу
deny log ip from any to 192.168.0.0.0/16 via fxp0
при чем не для всех пользователей.
Все пользователи подключаются с фейковыми адресами.
По правилам
пакет снаружи приходит на реальный адрес сервера,
на внешнем интерфейсе он проверяется ,
проверка доходит до правила с нат (фековый адресов в пакете нет значит он не попадает не под одно правило до нат),
происходит трансляция опять проверка правил после нат и попадание под пропусать все и далее на pppX
Так откуда же в логи берутся записи?
Почему не для всех адресов?
На freebsd 4.8 где есть внутренний интерфейс, такого не происходит там все работает нормально.
В чем может быть проблема?
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
16-Янв-04, 10:59 (MSK)
