форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Создать ipfw правило которое пропустит пакет дальше"	+/–
Сообщение от HAN7 on 25-Апр-07, 20:30
Привет! FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо сделать правило которое сработает, но пропустит пакет дальше (чтобы он был также обработан еще одним правилом) - вроде ничего особенного, а в хелпах ipfw не нашел такого, правила tee, forward, divert - не то, мне не нужно перекидывать еще на другие порты, а просто пропустить пакет дальше как будто он только пришел и этот пакет уже примет другое правило Подскажите пожалуйста какие могут быть решения? Спасибо!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Создать ipfw правило которое пропустит пакет дальше"	+/–
Сообщение от Broot (??) on 25-Апр-07, 20:32
>Привет! >FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо >сделать правило которое сработает, но пропустит пакет дальше (чтобы он был >также обработан еще одним правилом) - вроде ничего особенного, а в >хелпах ipfw не нашел такого, правила tee, forward, divert - не >то, мне не нужно перекидывать еще на другие порты, а просто >пропустить пакет дальше как будто он только пришел и этот пакет >уже примет другое правило > >Подскажите пожалуйста какие могут быть решения? >Спасибо! ipfw add xxx count ip from xxx to yyy via zzz0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от HAN7 on 25-Апр-07, 21:24
	> >ipfw add xxx count ip from xxx to yyy via zzz0 так это же правило просто посчета - а нормальное правило? ipfw add 1000 pass ...?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от HAN7 on 25-Апр-07, 21:34
	пример: ipfw add 3300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0 пакет будет принят этим правилом и все, а вот надо этот пакет повторить на аналогичное или похожее правило вот ниже: ipfw add 5300 pass tcp from 10.20.0.5 to 10.20.0.1 3128 via fxp0
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Создать ipfw правило которое пропустит пакет дальше"	+/–
Сообщение от GloryS (??) on 26-Апр-07, 18:28
>Привет! >FreeBSD 6.1, ipfw настроен, все работает, но вот есть задача - надо >сделать правило которое сработает, но пропустит пакет дальше (чтобы он был >также обработан еще одним правилом) - вроде ничего особенного, а в >хелпах ipfw не нашел такого, правила tee, forward, divert - не >то, мне не нужно перекидывать еще на другие порты, а просто >пропустить пакет дальше как будто он только пришел и этот пакет >уже примет другое правило > >Подскажите пожалуйста какие могут быть решения? >Спасибо! Не совсем понятно зачем такое нужно, но может skipto поможет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от HAN7 on 26-Апр-07, 19:11
	>Не совсем понятно зачем такое нужно, но может skipto поможет? есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает - так вот мне надо некоторым пользователям иногда давать доступ перед срабатыванием основных правил (тем более что там для одного это сделать невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, но он должен пройти и по основным правилам! пакет должен пройти по основным независимо от того что я сделаю в верхних правилах для какого-то юзера надо, иначе бы не спрашивал
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от Nimdar (ok) on 26-Апр-07, 19:30
	Тогда точно skipto # пользовательские ("верхние", как ты сказал) правила ipfw add 1000 skipto 10000 bla-bla-bla ipfw add 1100 skipto 10000 bla-bla-bla ipfw add 1100 skipto 10000 bla-bla-bla # основные правила ipfw add 10000 bla-bla-bla ipfw add 11000 bla-bla-bla man ipfw короче
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от HAN7 on 26-Апр-07, 21:44
	>Тогда точно skipto > ># пользовательские ("верхние", как ты сказал) правила >ipfw add 1000 skipto 10000 bla-bla-bla >ipfw add 1100 skipto 10000 bla-bla-bla >ipfw add 1100 skipto 10000 bla-bla-bla > ># основные правила >ipfw add 10000 bla-bla-bla >ipfw add 11000 bla-bla-bla > >man ipfw короче а само правило skipto несет какое действие (pass/deny) или только "прыжок"? если только перепрыгивает на другое - это не то :(  должно быть в обоих правилах действие (pass/deny)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от PixeL (??) on 26-Апр-07, 21:53
	http://www.citforum.ru/security/internet/firewall.shtml http://www.iptables.ru/ - хорошая дока по иптаблезу, в принципе все фв подчиняються одним и темже законам, толька синтаксис правил разный, и немножко специфические функции разлычны. То что Вы хотите себе изобрести... такого в прероде ФВ невозможно. Т.к. скорость прохождения по интерфейсам пакетов зависит от скорости обработки ядра этих пакетов. А любое ядро пускает пакет по перво-попавшемуся правилу удовлетворившему правило выборки. т.е. пакет пойдет по первому правилу с данными ипом. далее пакет выплёвывается с ипа и интерфейс про него забывает. То что хотите вы сделать... то необходимо составить скрипт с временной задержкой! Читайке внимательнее доку по брандмауерам!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от alpha_Qu4z4r on 30-Мрт-10, 22:44
	Вообще мимо ответ. Автор топика прекрасно занет общие принципы настройки фаера, ему нужен конкретный синтаксис конкртеного файрволла. Так что ваш ответ по всем пунктам мимо кассы...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Создать ipfw правило которое пропустит пакет дальше"	+/–
	Сообщение от sibgaz on 22-Ноя-11, 06:05
	> есть много пользователей у которых система правил ipfw периодически перебирая IPs отключает/включает > - так вот мне надо некоторым пользователям иногда давать доступ перед > срабатыванием основных правил (тем более что там для одного это сделать > невозможно - там просто повторяется скрипт) - т.е. юзер получает доступ, > но он должен пройти и по основным правилам! пакет должен пройти > по основным независимо от того что я сделаю в верхних правилах > для какого-то юзера можно использовать bpf в отличии от ipfw он не "выплевывает" после "срабатывания правила" а идет по списку правил дальше и по сути даже совсем не так: пакет прогоняется по всему списку правил в любом случае за исключением указания дериктивы -q явно обозначающей прекратить обработку при совпадении по правилу.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема