форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Огромное количество динамических правил в ipfw"
Сообщение от const on 06-Фев-05, 17:04  (MSK)
Проблема такая - стоит роутер под FreeBSD в файрволе кучка правил вот такого вида: 55000   189958  133373152 allow ip from 192.168.0.245 to any limit dst-addr 7 55000     6780    2255274 allow ip from any to 192.168.0.245 limit src-addr 7 55000   400533  418677487 allow ip from 192.168.0.246 to any limit dst-addr 7 55000     8662    7210826 allow ip from any to 192.168.0.246 limit src-addr 7 Делаю server# sysctl net.inet.ip.fw.dyn_count net.inet.ip.fw.dyn_count: 18137 Делаю ipfw -de show и все эти 18137 правил вылезают в виде 55000 0 0 (T 0, slot 2) PARENT 0 tcp, 81.222.140.2 0<-> 0.0.0.0 0 55000 0 0 (T 0, slot 2) PARENT 0 tcp, 0.0.0.0 0<-> 81.222.140.2 0 55000 0 0 (T 0, slot 3) PARENT 1 tcp, 0.0.0.0 0<-> 213.254.248.3 0 55000 0 0 (T 0, slot 3) PARENT 0 udp, 0.0.0.0 0<-> 80.230.132.3 0 55000 0 0 (T 0, slot 3) PARENT 0 udp, 0.0.0.0 0<-> 83.130.244.3 0 55000 0 0 (T 0, slot 3) PARENT 0 udp, 0.0.0.0 0<-> 80.125.244.3 0 ну и далее со всеми остановками. Вопроса в принципе два : 1. Откуда эта фигня растет и можно ли вычислить кто конкретно эти правила создал? 2. Как уменьшить время жизни этих правил , а еще лучше запретить их созданте в таких количествах?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Огромное количество динамических правил в ipfw"
Сообщение от magr (??) on 07-Фев-05, 10:57  (MSK)
>1. Откуда эта фигня растет и можно ли вычислить кто конкретно эти >правила создал? man ipfw секция STATEFUL FIREWALL >2. Как уменьшить время жизни этих правил , а еще лучше запретить >их созданте в таких количествах? секция SYSCTL VARIABLES
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Может я не так выразился?"
	Сообщение от const on 07-Фев-05, 23:36  (MSK)
	> >>1. Откуда эта фигня растет и можно ли вычислить кто конкретно эти >>правила создал? >man ipfw >секция STATEFUL FIREWALL То что эти правила порождают правила лимита я как-то совершеннейше случайно догадался . Меня интересует кто (из юзверей) дает такие запросы , что порождаются именно такие : PARENT 0 tcp, 81.222.140.2 0<-> 0.0.0.0 0 правила. Как эти запросы по идее должны выглядеть и как мне их запретить к чертям собачьим. >>2. Как уменьшить время жизни этих правил , а еще лучше запретить >>их созданте в таких количествах? >секция SYSCTL VARIABLES Пагдон      net.inet.ip.fw.dyn_short_lifetime: 30 это что-ли имеется в виду?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.