forum.opennet.ru - "проблема с правилами ipfw, не знаю в чем ошибка" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"проблема с правилами ipfw, не знаю в чем ошибка"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"проблема с правилами ipfw, не знаю в чем ошибка"
Сообщение от dimau (ok) on 05-Май-05, 15:53 (MSK)
есть сеть: внутренняя сетка 192.168.0.0/24 сервер 192.168.0.1 для юзеров правила файрвола генерятся биллинговой системой такого типа: add 5100 allow ip from 192.168.0.111 to any add 5101 allow ip from any to 192.168.0.111 все же правила выглядят так: add 100 allow ip from me to any add 200 allow ip from me to any ......... add 5100 allow ip from 192.168.0.111 to any add 5101 allow ip from any to 192.168.0.111 ......... ......... add 65000 deny all from any to any ========================= затем мне захотелось всех отключенных юзеров форвардить на мой сервак ( специально для этого на 8080 порту поднял virtualhost где в индексном файле написано, что мол вы заблокированы и все такое. Для этой цели я так понял надо вписать строчку такого вида: ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 к сожалению это не помогает, почему не знаю. ( хотя счетчик на этом правиле бежит ). Может поможите разобраться, буду очень признателен!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

проблема с правилами ipfw, не знаю в чем ошибка, georg, 17:54 , 05-Май-05, (1)
- проблема с правилами ipfw, не знаю в чем ошибка, dimau, 18:12 , 05-Май-05, (2)
  - проблема с правилами ipfw, не знаю в чем ошибка, georg, 19:27 , 05-Май-05, (3)
    - проблема с правилами ipfw, не знаю в чем ошибка, dimau, 00:31 , 06-Май-05, (4)
проблема с правилами ipfw, не знаю в чем ошибка, dodger, 05:30 , 06-Май-05, (5)
- проблема с правилами ipfw, не знаю в чем ошибка, dimau, 15:55 , 06-Май-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от georg (??) on 05-Май-05, 17:54  (MSK)

>есть сеть:
>внутренняя сетка 192.168.0.0/24
>сервер 192.168.0.1
>для юзеров правила файрвола генерятся биллинговой системой такого типа:
>add 5100 allow ip from 192.168.0.111 to any
>add 5101 allow ip from any  to 192.168.0.111
>
>все же правила выглядят так:
>add 100 allow ip from me to any
>add 200 allow ip from me to any
>.........
>add 5100 allow ip from 192.168.0.111 to any
>add 5101 allow ip from any  to 192.168.0.111
>.........
>.........
>add 65000 deny all from any to any
>
>=========================
>затем мне захотелось всех отключенных юзеров форвардить на мой сервак ( специально
>для этого на 8080 порту поднял virtualhost где в индексном файле
>написано, что мол вы заблокированы и все такое.
>
>Для этой цели я так понял надо вписать строчку такого вида:
>ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80
>
>к сожалению это не помогает, почему не знаю. ( хотя счетчик на
>этом правиле бежит ). Может поможите разобраться, буду очень признателен!

Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает?
А вообще смотри tcpdump, там всё подробно!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от dimau (ok) on 05-Май-05, 18:12  (MSK)

>Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает?
>А вообще смотри tcpdump, там всё подробно!
спасибо, половину проблемы уже решил.
вставил такие строки:
60100          0            0 allow tcp from any 8080 to 192.168.0.0/24
60200        145       112351 allow tcp from any 80 to 192.168.0.0/24
( почему-то 1-я строка не работает. ),
и все запросы прутся не на 8080 порт, а на 80, то есть на обычный сайт. Почему не понимаю, так как я вроди на 8080 порт редиректю, буду разбераться.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от georg (??) on 05-Май-05, 19:27  (MSK)

>>Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает?
>>А вообще смотри tcpdump, там всё подробно!
>
>спасибо, половину проблемы уже решил.
>вставил такие строки:
>60100          0
>          0
>allow tcp from any 8080 to 192.168.0.0/24
>60200        145
>   112351 allow tcp from any 80 to 192.168.0.0/24
>
>
>( почему-то 1-я строка не работает. ),
>и все запросы прутся не на 8080 порт, а на 80, то
>есть на обычный сайт. Почему не понимаю, так как я вроди
>на 8080 порт редиректю, буду разбераться.

Ты форвардишь на порт 8080, но апач отвечает с другого порта, случайного либо согласно твоих настроек!..
ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 setup
Должно получиться! Не помню точно!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от dimau (ok) on 06-Май-05, 00:31  (MSK)

>Ты форвардишь на порт 8080, но апач отвечает с другого порта, случайного
>либо согласно твоих настроек!..
>ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 setup
>
>Должно получиться! Не помню точно!
я к сожалению не понял почему апач отвечает с 80 порта, так как я проверял:
http://192.168.0.1:8080/ - показывается нужная страничка.
когда же через  fwd попадает, ощущение, что он на 8080 порт не форвардит, а 80 оставляет, может в апаче где( в настройках ) проблема?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от dodger (ok) on 06-Май-05, 05:30  (MSK)

>есть сеть:
>внутренняя сетка 192.168.0.0/24
>сервер 192.168.0.1
>для юзеров правила файрвола генерятся биллинговой системой такого типа:
>add 5100 allow ip from 192.168.0.111 to any
>add 5101 allow ip from any  to 192.168.0.111
>
>все же правила выглядят так:
>add 100 allow ip from me to any
>add 200 allow ip from me to any
>.........
>add 5100 allow ip from 192.168.0.111 to any
>add 5101 allow ip from any  to 192.168.0.111
>.........
>.........
>add 65000 deny all from any to any
>
>=========================
>затем мне захотелось всех отключенных юзеров форвардить на мой сервак ( специально
>для этого на 8080 порту поднял virtualhost где в индексном файле
>написано, что мол вы заблокированы и все такое.
>
>Для этой цели я так понял надо вписать строчку такого вида:
>ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80
>
>к сожалению это не помогает, почему не знаю. ( хотя счетчик на
>этом правиле бежит ). Может поможите разобраться, буду очень признателен!
Товарисчи!
Внимательно смотрим man ipfw:
The fwd action does not change the contents of the packet at all.
In particular, the destination address remains unmodified, so
packets forwarded to another system will usually be rejected by
that system unless there is a matching rule on that system to
capture them.  For packets forwarded locally, the local address
of the socket will be set to the original destination address of
the packet.  This makes the netstat(1) entry look rather weird
but is intended for use with transparent proxy servers.
пришедший пакет имеет параметры
Адрес отпр: 192.168.0.111:1999 к примеру
Адрес получ: 201.82.177.90:80 тоже к примеру
при fwd, как сказано в манах, адрес получателя у сокета остается оригинальным. Как воспринимает сие apache? :-)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "проблема с  правилами ipfw, не знаю в чем ошибка"

Сообщение от dimau (ok) on 06-Май-05, 15:55  (MSK)

>
>Товарисчи!
>Внимательно смотрим man ipfw:
>The fwd action does not change the contents of the packet at
>all.
>In particular, the destination address remains unmodified, so
>packets forwarded to another system will usually be rejected by
>that system unless there is a matching rule on that system to
>
>capture them.  For packets forwarded locally, the local address
>of the socket will be set to the original destination address of
>
>the packet.  This makes the netstat(1) entry look rather weird
>but is intended for use with transparent proxy servers.
>
>пришедший пакет имеет параметры
>Адрес отпр: 192.168.0.111:1999 к примеру
>Адрес получ: 201.82.177.90:80 тоже к примеру
>при fwd, как сказано в манах, адрес получателя у сокета остается оригинальным.
>Как воспринимает сие apache? :-)
так и знал что где-то тут есть подвох. Спасибо, выходит надо не порт другой, а алиас у сервака поднять ( 192.168.0.2 к примеру ), и на него форвард как раз делать.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "проблема с правилами ipfw, не знаю в чем ошибка"
Сообщение от georg (??) on 05-Май-05, 17:54 (MSK)
>есть сеть: >внутренняя сетка 192.168.0.0/24 >сервер 192.168.0.1 >для юзеров правила файрвола генерятся биллинговой системой такого типа: >add 5100 allow ip from 192.168.0.111 to any >add 5101 allow ip from any to 192.168.0.111 > >все же правила выглядят так: >add 100 allow ip from me to any >add 200 allow ip from me to any >......... >add 5100 allow ip from 192.168.0.111 to any >add 5101 allow ip from any to 192.168.0.111 >......... >......... >add 65000 deny all from any to any > >========================= >затем мне захотелось всех отключенных юзеров форвардить на мой сервак ( специально >для этого на 8080 порту поднял virtualhost где в индексном файле >написано, что мол вы заблокированы и все такое. > >Для этой цели я так понял надо вписать строчку такого вида: >ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 > >к сожалению это не помогает, почему не знаю. ( хотя счетчик на >этом правиле бежит ). Может поможите разобраться, буду очень признателен! Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает? А вообще смотри tcpdump, там всё подробно!
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "проблема с правилами ipfw, не знаю в чем ошибка"
	Сообщение от dimau (ok) on 05-Май-05, 18:12 (MSK)
	>Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает? >А вообще смотри tcpdump, там всё подробно! спасибо, половину проблемы уже решил. вставил такие строки: 60100 0 0 allow tcp from any 8080 to 192.168.0.0/24 60200 145 112351 allow tcp from any 80 to 192.168.0.0/24 ( почему-то 1-я строка не работает. ), и все запросы прутся не на 8080 порт, а на 80, то есть на обычный сайт. Почему не понимаю, так как я вроди на 8080 порт редиректю, буду разбераться.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "проблема с правилами ipfw, не знаю в чем ошибка"
	Сообщение от georg (??) on 05-Май-05, 19:27 (MSK)
	>>Пакеты от Юзверей на сервер форвардятся, а обратно fw их пропускает? >>А вообще смотри tcpdump, там всё подробно! > >спасибо, половину проблемы уже решил. >вставил такие строки: >60100 0 > 0 >allow tcp from any 8080 to 192.168.0.0/24 >60200 145 > 112351 allow tcp from any 80 to 192.168.0.0/24 > > >( почему-то 1-я строка не работает. ), >и все запросы прутся не на 8080 порт, а на 80, то >есть на обычный сайт. Почему не понимаю, так как я вроди >на 8080 порт редиректю, буду разбераться. Ты форвардишь на порт 8080, но апач отвечает с другого порта, случайного либо согласно твоих настроек!.. ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 setup Должно получиться! Не помню точно!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "проблема с правилами ipfw, не знаю в чем ошибка"
	Сообщение от dimau (ok) on 06-Май-05, 00:31 (MSK)
	>Ты форвардишь на порт 8080, но апач отвечает с другого порта, случайного >либо согласно твоих настроек!.. >ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 setup > >Должно получиться! Не помню точно! я к сожалению не понял почему апач отвечает с 80 порта, так как я проверял: http://192.168.0.1:8080/ - показывается нужная страничка. когда же через fwd попадает, ощущение, что он на 8080 порт не форвардит, а 80 оставляет, может в апаче где( в настройках ) проблема?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "проблема с правилами ipfw, не знаю в чем ошибка"
Сообщение от dodger (ok) on 06-Май-05, 05:30 (MSK)
>есть сеть: >внутренняя сетка 192.168.0.0/24 >сервер 192.168.0.1 >для юзеров правила файрвола генерятся биллинговой системой такого типа: >add 5100 allow ip from 192.168.0.111 to any >add 5101 allow ip from any to 192.168.0.111 > >все же правила выглядят так: >add 100 allow ip from me to any >add 200 allow ip from me to any >......... >add 5100 allow ip from 192.168.0.111 to any >add 5101 allow ip from any to 192.168.0.111 >......... >......... >add 65000 deny all from any to any > >========================= >затем мне захотелось всех отключенных юзеров форвардить на мой сервак ( специально >для этого на 8080 порту поднял virtualhost где в индексном файле >написано, что мол вы заблокированы и все такое. > >Для этой цели я так понял надо вписать строчку такого вида: >ipfw add 60000 fwd 192.168.0.1,8080 tcp from 192.168.0.0/24 to any 80 > >к сожалению это не помогает, почему не знаю. ( хотя счетчик на >этом правиле бежит ). Может поможите разобраться, буду очень признателен! Товарисчи! Внимательно смотрим man ipfw: The fwd action does not change the contents of the packet at all. In particular, the destination address remains unmodified, so packets forwarded to another system will usually be rejected by that system unless there is a matching rule on that system to capture them. For packets forwarded locally, the local address of the socket will be set to the original destination address of the packet. This makes the netstat(1) entry look rather weird but is intended for use with transparent proxy servers. пришедший пакет имеет параметры Адрес отпр: 192.168.0.111:1999 к примеру Адрес получ: 201.82.177.90:80 тоже к примеру при fwd, как сказано в манах, адрес получателя у сокета остается оригинальным. Как воспринимает сие apache? :-)
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "проблема с правилами ipfw, не знаю в чем ошибка"
	Сообщение от dimau (ok) on 06-Май-05, 15:55 (MSK)
	> >Товарисчи! >Внимательно смотрим man ipfw: >The fwd action does not change the contents of the packet at >all. >In particular, the destination address remains unmodified, so >packets forwarded to another system will usually be rejected by >that system unless there is a matching rule on that system to > >capture them. For packets forwarded locally, the local address >of the socket will be set to the original destination address of > >the packet. This makes the netstat(1) entry look rather weird >but is intended for use with transparent proxy servers. > >пришедший пакет имеет параметры >Адрес отпр: 192.168.0.111:1999 к примеру >Адрес получ: 201.82.177.90:80 тоже к примеру >при fwd, как сказано в манах, адрес получателя у сокета остается оригинальным. >Как воспринимает сие apache? :-) так и знал что где-то тут есть подвох. Спасибо, выходит надо не порт другой, а алиас у сервака поднять ( 192.168.0.2 к примеру ), и на него форвард как раз делать.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]