forum.opennet.ru - "IPFW" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW"
Сообщение от admin_scar (??) on 23-Июл-07, 01:03
Чем отличается allow tcp from any to 10.115.34.190 dst-port 22 от allow tcp from any 22 to 10.115.34.190 Если ничем, то почему второй вариант не работает? Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPFW, crash, 02:26 , 23-Июл-07, (1)

IPFW, admin_scar, 10:48 , 23-Июл-07, (2)

IPFW, Белоиванов Денис, 10:59 , 23-Июл-07, (3)

IPFW, Белоиванов Денис, 11:00 , 23-Июл-07, (4)
IPFW, admin_scar, 11:09 , 23-Июл-07, (5)

IPFW, admin_scar, 11:19 , 23-Июл-07, (6)

IPFW, Белоиванов Денис, 11:35 , 23-Июл-07, (7)
IPFW, vvv, 11:37 , 23-Июл-07, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "IPFW"

Сообщение от crash (ok) on 23-Июл-07, 02:26

>Чем отличается
>
>allow tcp from any to 10.115.34.190 dst-port 22
>
>от
>
>allow tcp from any 22 to 10.115.34.190
>
>Если ничем, то почему второй вариант не работает?
>Заранее спасибо.
во втором варианте к вам должны коннектиться (то есть порт источника) с 22 порта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW"

Сообщение от admin_scar (ok) on 23-Июл-07, 10:48

>во втором варианте к вам должны коннектиться (то есть порт источника) с
>22 порта.
спасибо, ну а вот это почему не работает?
allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
# rl1 - local interface

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPFW"

Сообщение от Белоиванов Денис on 23-Июл-07, 10:59

>>во втором варианте к вам должны коннектиться (то есть порт источника) с
>>22 порта.
>
>спасибо, ну а вот это почему не работает?
>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>
># rl1 - local interface
Напиши.
allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
Будет  работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW"

Сообщение от Белоиванов Денис on 23-Июл-07, 11:00

>[оверквотинг удален]
>>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>>
>># rl1 - local interface
>
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет  работать.
Ошися rl1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPFW"

Сообщение от admin_scar (ok) on 23-Июл-07, 11:09

>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет  работать.
а что такое setup keep-state ?
и почему не работает мой вариант, логически кажется правильно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPFW"

Сообщение от admin_scar (ok) on 23-Июл-07, 11:19

у меня есть 2 правила
00204 allow tcp from 192.168.0.138 80,25,110,5190,443 to any via rl1 setup keep-state
и
00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1

по первому трафик не идет, а по второму идет.
что опять не так делаю?
не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPFW"

Сообщение от Белоиванов Денис on 23-Июл-07, 11:35

>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>
А что ты в итоге хочеш получить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPFW"

Сообщение от vvv (??) on 23-Июл-07, 11:37

>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>
Как вариант - поставить самым первым правилом
00001 check-state
и тогда правило
00204 allow tcp from 192.168.0.138 to any via 80,25,110,5190,443 rl1 setup keep-state
заработает (keep-state указывает, что файрвол должен сам создать динамические правила для поддержки этого соединения).
Только посмотрите, я несколько исправил 204 правило, т.к. скорее всего подразумевалось, что клиент не с портов 80,25 и т.д. должен коннектиться, а наоборот - клиент должен коннектиться на эти порты (иметь доступ к почте, WWW, оскопленному ICQ и пр.)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW"
Сообщение от crash (ok) on 23-Июл-07, 02:26
>Чем отличается > >allow tcp from any to 10.115.34.190 dst-port 22 > >от > >allow tcp from any 22 to 10.115.34.190 > >Если ничем, то почему второй вариант не работает? >Заранее спасибо. во втором варианте к вам должны коннектиться (то есть порт источника) с 22 порта.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPFW"
	Сообщение от admin_scar (ok) on 23-Июл-07, 10:48
	>во втором варианте к вам должны коннектиться (то есть порт источника) с >22 порта. спасибо, ну а вот это почему не работает? allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1 # rl1 - local interface
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPFW"
	Сообщение от Белоиванов Денис on 23-Июл-07, 10:59
	>>во втором варианте к вам должны коннектиться (то есть порт источника) с >>22 порта. > >спасибо, ну а вот это почему не работает? >allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1 > ># rl1 - local interface Напиши. allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state Будет работать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPFW"
	Сообщение от Белоиванов Денис on 23-Июл-07, 11:00
	>[оверквотинг удален] >>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1 >> >># rl1 - local interface > >Напиши. > >allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state > > >Будет работать. Ошися rl1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPFW"
	Сообщение от admin_scar (ok) on 23-Июл-07, 11:09
	>Напиши. > >allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state > > >Будет работать. а что такое setup keep-state ? и почему не работает мой вариант, логически кажется правильно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IPFW"
	Сообщение от admin_scar (ok) on 23-Июл-07, 11:19
	у меня есть 2 правила 00204 allow tcp from 192.168.0.138 80,25,110,5190,443 to any via rl1 setup keep-state и 00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1 по первому трафик не идет, а по второму идет. что опять не так делаю? не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IPFW"
	Сообщение от Белоиванов Денис on 23-Июл-07, 11:35
	>[оверквотинг удален] > >и >00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1 > > >по первому трафик не идет, а по второму идет. > >что опять не так делаю? >не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи. > А что ты в итоге хочеш получить?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IPFW"
	Сообщение от vvv (??) on 23-Июл-07, 11:37
	>[оверквотинг удален] > >и >00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1 > > >по первому трафик не идет, а по второму идет. > >что опять не так делаю? >не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи. > Как вариант - поставить самым первым правилом 00001 check-state и тогда правило 00204 allow tcp from 192.168.0.138 to any via 80,25,110,5190,443 rl1 setup keep-state заработает (keep-state указывает, что файрвол должен сам создать динамические правила для поддержки этого соединения). Только посмотрите, я несколько исправил 204 правило, т.к. скорее всего подразумевалось, что клиент не с портов 80,25 и т.д. должен коннектиться, а наоборот - клиент должен коннектиться на эти порты (иметь доступ к почте, WWW, оскопленному ICQ и пр.)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]