The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Создать ipfw правило которое пропустит пакет дальше"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от HAN7 on 25-Апр-07, 20:30 
Привет!
FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо сделать правило которое сработает, но пропустит пакет дальше (чтобы он был также обработан еще одним правилом) - вроде ничего особенного, а в хелпах ipfw не нашел такого, правила tee, forward, divert - не то, мне не нужно перекидывать еще на другие порты, а просто пропустить пакет дальше как будто он только пришел и этот пакет уже примет другое правило

Подскажите пожалуйста какие могут быть решения?
Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от Broot (??) on 25-Апр-07, 20:32 
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!


ipfw add xxx count ip from xxx to yyy via zzz0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от HAN7 on 25-Апр-07, 21:24 

>
>ipfw add xxx count ip from xxx to yyy via zzz0

так это же правило просто посчета - а нормальное правило? ipfw add 1000 pass ...?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от HAN7 on 25-Апр-07, 21:34 
пример:

ipfw add 3300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0

пакет будет принят этим правилом и все, а вот надо этот пакет повторить на
аналогичное или похожее правило вот ниже:

ipfw add 5300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от GloryS (??) on 26-Апр-07, 18:28 
>Привет!
>FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо
>сделать правило которое сработает, но пропустит пакет дальше (чтобы он был
>также обработан еще одним правилом) - вроде ничего особенного, а в
>хелпах ipfw не нашел такого, правила tee, forward, divert - не
>то, мне не нужно перекидывать еще на другие порты, а просто
>пропустить пакет дальше как будто он только пришел и этот пакет
>уже примет другое правило
>
>Подскажите пожалуйста какие могут быть решения?
>Спасибо!


Не совсем понятно зачем такое нужно, но может skipto поможет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от HAN7 on 26-Апр-07, 19:11 

>Не совсем понятно зачем такое нужно, но может skipto поможет?

есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает - так вот мне надо некоторым пользователям иногда давать доступ перед срабатыванием основных правил (тем более что там для одного это сделать невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, но он должен пройти и по основным правилам! пакет должен пройти по основным независимо от того что я сделаю в верхних правилах для какого-то юзера

надо, иначе бы не спрашивал


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от Nimdar (ok) on 26-Апр-07, 19:30 
Тогда точно skipto

# пользовательские ("верхние", как ты сказал) правила
ipfw add 1000 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla
ipfw add 1100 skipto 10000 bla-bla-bla

# основные правила
ipfw add 10000 bla-bla-bla
ipfw add 11000 bla-bla-bla

man ipfw короче

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от HAN7 on 26-Апр-07, 21:44 
>Тогда точно skipto
>
># пользовательские ("верхние", как ты сказал) правила
>ipfw add 1000 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>ipfw add 1100 skipto 10000 bla-bla-bla
>
># основные правила
>ipfw add 10000 bla-bla-bla
>ipfw add 11000 bla-bla-bla
>
>man ipfw короче

а само правило skipto несет какое действие (pass/deny) или только "прыжок"?
если только перепрыгивает на другое - это не то :(  должно быть в обоих правилах действие (pass/deny)


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от PixeL (??) on 26-Апр-07, 21:53 
http://www.citforum.ru/security/internet/firewall.shtml
http://www.iptables.ru/ - хорошая дока по иптаблезу, в принципе все фв подчиняються одним и темже законам, толька синтаксис правил разный, и немножко специфические функции разлычны.
То что Вы хотите себе изобрести... такого в прероде ФВ невозможно. Т.к. скорость прохождения по интерфейсам пакетов зависит от скорости обработки ядра этих пакетов.
А любое ядро пускает пакет по перво-попавшемуся правилу удовлетворившему правило выборки.
т.е. пакет пойдет по первому правилу с данными ипом. далее пакет выплёвывается с ипа и интерфейс про него забывает.
То что хотите вы сделать... то необходимо составить скрипт с временной задержкой!
Читайке внимательнее доку по брандмауерам!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от alpha_Qu4z4r on 30-Мрт-10, 22:44 
Вообще мимо ответ.

Автор топика прекрасно занет общие принципы настройки фаера, ему нужен конкретный синтаксис конкртеного файрволла. Так что ваш ответ по всем пунктам мимо кассы...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Создать ipfw правило которое пропустит пакет дальше"  +/
Сообщение от sibgaz email on 22-Ноя-11, 06:05 

> есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает
> - так вот мне надо некоторым пользователям иногда давать доступ перед
> срабатыванием основных правил (тем более что там для одного это сделать
> невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ,
> но он должен пройти и по основным правилам! пакет должен пройти
> по основным независимо от того что я сделаю в верхних правилах
> для какого-то юзера

можно использовать bpf в отличии от ipfw он не "выплевывает" после "срабатывания правила" а идет по списку правил дальше и по сути даже совсем не так: пакет прогоняется по всему списку правил в любом случае за исключением указания дериктивы -q явно обозначающей прекратить обработку при совпадении по правилу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру