форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Помогите пожалуйста с конфигом ipfw (вроде бы работает, но....."		+/–
Сообщение от Виталий из Петербурга on 14-Июл-09, 20:01
Добрый день. Есть вот такой конфиг, который работает, только после добавления правила allow ip from any to any keep-state Цель, выпустить всех наружу rl0-внешний Где косяк? 00100      24       1200 allow ip from any to any via lo0 00200       0          0 deny ip from any to 127.0.0.0/8 00300       0          0 deny ip from 127.0.0.0/8 to any 00400       0          0 deny ip from 192.168.0.254 to any in via rl0 00500       0          0 deny ip from 93.190.226.190 to any in via xl0 00600       8        719 deny ip from any to 10.0.0.0/8 via rl0 00700       0          0 deny ip from any to 172.16.0.0/12 via rl0 00800   16961    1699931 deny ip from any to 192.168.0.0/16 via rl0 00900       0          0 deny ip from any to 0.0.0.0/8 via rl0 01000       0          0 deny ip from any to 169.254.0.0/16 via rl0 01100       0          0 deny ip from any to 192.0.2.0/24 via rl0 01200       5        148 deny ip from any to 224.0.0.0/4 via rl0 01300       0          0 deny ip from any to 240.0.0.0/4 via rl0 01400 4634864 3020975097 divert 8668 ip from any to any via rl0 01500    5219     696844 allow tcp from any to me dst-port 22 keep-state 01600 7300439 5685764568 allow ip from 192.168.0.0/24 to any keep-state 01700 1995862  365835899 allow ip from any to any keep-state 01800       0          0 deny log logamount 100 tcp from any to any in via rl0 setup 01900       0          0 allow icmp from me to any keep-state 02000       0          0 allow icmp from any to me keep-state 02100       0          0 allow udp from me to any dst-port 53 keep-state 65535       1         67 deny ip from any to any
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите пожалуйста с конфигом ipfw (вроде бы работает, но....."		+/–
Сообщение от PavelR (??) on 14-Июл-09, 20:12
дык всё же работает, что еще нужно :-) ? Не хватает правила check-state косяк "классический" - нет уточнения направления движения пакета, в роутер или из него, т.е. нет понимания, что пакет проходит файрволл два раза, на входе и на выходе. В т.ч. требуется понимание того, в какое место вставлять этот check, потому что неправильное применение приведет к отсутствию заворачивания пакета на диверт. Стандартный rc.firewall многое умеет, советую посмотреть в него.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Помогите пожалуйста с конфигом ipfw (вроде бы работает, но....."		+/–
	Сообщение от Виталий из Петербурга on 14-Июл-09, 21:58
	>дык всё же работает, что еще нужно :-) ? Слишком размыто правило, чтобы мое ЧСВ было успокоено >Не хватает правила check-state >косяк "классический" - нет уточнения направления движения пакета, в роутер или из >него, т.е. нет понимания, что пакет проходит файрволл два раза, на >входе и на выходе. В т.ч. требуется понимание того, в какое >место вставлять этот check, потому что неправильное применение приведет к отсутствию >заворачивания пакета на диверт. А можно поподробнее? >Стандартный rc.firewall многое умеет, советую посмотреть в него. Не поверишь, вожусь со стандартным rc.firewall в учебных целях. Я правильно понимаю, что мне надо просто вместо keep-state написать check-state Написать via (внутренний интерфейс)?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема