forum.opennet.ru - "ipfw natd gre (pptp)" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw natd gre (pptp)"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw natd gre (pptp)"	+/–
Сообщение от BarS (??) on 02-Ноя-10, 11:28
Не могу понять, натю pptp трафик, соединение проходит, но через 100 секунд соединение падает. Я так понимаю из-за правила from x.x.x.x to y.y.y.y 1723 setup keep-state какие время живут динамичсекие правила и где глянуть правила в нате (что он сейчас натит).
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw natd gre (pptp), Pahanivo, 11:37 , 02-Ноя-10, (1)

ipfw natd gre (pptp), BarS, 12:09 , 02-Ноя-10, (2)

ipfw natd gre (pptp), Pahanivo, 12:28 , 02-Ноя-10, (3)

ipfw natd gre (pptp), BarS, 12:47 , 02-Ноя-10, (4)

ipfw natd gre (pptp), Pahanivo, 13:12 , 02-Ноя-10, (5)

ipfw natd gre (pptp), BarS, 13:45 , 02-Ноя-10, (8)

ipfw natd gre (pptp), Pahanivo, 13:15 , 02-Ноя-10, (6)

ipfw natd gre (pptp), BarS, 13:19 , 02-Ноя-10, (7)

ipfw natd gre (pptp), Pahanivo, 14:21 , 02-Ноя-10, (9)

ipfw natd gre (pptp), BarS, 14:47 , 02-Ноя-10, (10)

ipfw natd gre (pptp), Pahanivo, 16:15 , 02-Ноя-10, (11)

ipfw natd gre (pptp), BarS, 17:45 , 02-Ноя-10, (12)

ipfw natd gre (pptp), PavelR, 19:11 , 02-Ноя-10, (13)

ipfw natd gre (pptp), BarS, 13:07 , 29-Ноя-10, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 11:37

> Не могу понять, натю pptp трафик, соединение проходит, но через 100 секунд
> соединение падает. Я так понимаю из-за правила
> from x.x.x.x to y.y.y.y 1723 setup keep-state
а какой глубинный смысл использовать динамическое правило для постоянного соединения?
начитались хау-ту а понять чо к чему неудосужились?
> какие время живут динамичсекие правила
в man ipfw есть отдельный раздел SYSCTL VARIABLES
> и где глянуть правила в нате (что
> он сейчас натит).
какие правила в нате?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 12:09

> а какой глубинный смысл использовать динамическое правило для постоянного соединения?
а глубинный смысл в том, что бы правило отработало на соединение и висело себе спокойно в динамических правилах и не было головной боли о том что можно с 1723 на 22 и другие порты зацепиться.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 12:28

>> а какой глубинный смысл использовать динамическое правило для постоянного соединения?
> а глубинный смысл в том, что бы правило отработало на соединение и
> висело себе спокойно в динамических правилах и не было головной боли
> о том что можно с 1723 на 22 и другие порты
> зацепиться.
в том то все и дело что ДИНАМИЧЕСКОЕ правило не висит "СПОКОЙНО"
о том что можно с 1723 на 22 вы несете ахинею - что мешает сделать отдельные правила дял этого? какая связь 1723 и 22 вообще?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 12:47

> о том что можно с 1723 на 22 вы несете ахинею -
> что мешает сделать отдельные правила дял этого? какая связь 1723 и
> 22 вообще?
мешает то, что established - это всего лишь набор флагов.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 13:12

>> о том что можно с 1723 на 22 вы несете ахинею -
>> что мешает сделать отдельные правила дял этого? какая связь 1723 и
>> 22 вообще?
> мешает то, что established - это всего лишь набор флагов.
для решения разных задач используются разные инструменты - для соединений которые часто создаются и разрываются можно использовать динамические
зачем для коннекта который висит постоянно использовать динамику? что бы наступить на грабли при первом же сетевом затыке?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 13:45

>>> о том что можно с 1723 на 22 вы несете ахинею -
>>> что мешает сделать отдельные правила дял этого? какая связь 1723 и
>>> 22 вообще?
>> мешает то, что established - это всего лишь набор флагов.
> для решения разных задач используются разные инструменты - для соединений которые часто
> создаются и разрываются можно использовать динамические
> зачем для коннекта который висит постоянно использовать динамику? что бы наступить на
> грабли при первом же сетевом затыке?
У мну соединение не постоянное - зашли, поработали - ушли.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 13:15

>> о том что можно с 1723 на 22 вы несете ахинею -
>> что мешает сделать отдельные правила дял этого? какая связь 1723 и
>> 22 вообще?
> мешает то, что established - это всего лишь набор флагов.
а причем тут keep-state?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 13:19

>>> о том что можно с 1723 на 22 вы несете ахинею -
>>> что мешает сделать отдельные правила дял этого? какая связь 1723 и
>>> 22 вообще?
>> мешает то, что established - это всего лишь набор флагов.
> а причем тут keep-state?
keep-state хранит параметры именно соединения и спрыгнуть с него в любую сторону не получиться.
для чего в примерах /etc/rc.firewall
pass udp from me to any 53 keep-state
хотя у удп нет соединения как такового.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 14:21

>>>> о том что можно с 1723 на 22 вы несете ахинею -
>>>> что мешает сделать отдельные правила дял этого? какая связь 1723 и
>>>> 22 вообще?
>>> мешает то, что established - это всего лишь набор флагов.
>> а причем тут keep-state?
> keep-state хранит параметры именно соединения и спрыгнуть с него в любую сторону
> не получиться.
а если переписать ваше правило так - "спрыгнуть" с него стало легче?
зато однозначно легче стало отслеживать косяки ))
pass from x.x.x.x to y.y.y.y 1723
pass from y.y.y.y 1723 to x.x.x.x
ваше фраза про естаблишед все еще остается непонятной )))
> для чего в примерах /etc/rc.firewall
> pass udp from me to any 53 keep-state
> хотя у удп нет соединения как такового.
ну уж явно не для того чтобы втыкать keep-state в каждой строке
к тому же хотелось бы глянуть на весь ваш фаер - ибо что-то судить по одному правилу невозможно - так как хотя бы его место имеет большое значение

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 14:47

> а если переписать ваше правило так - "спрыгнуть" с него стало легче?
> зато однозначно легче стало отслеживать косяки ))
> pass from x.x.x.x to y.y.y.y 1723
> pass from y.y.y.y 1723 to x.x.x.x
pass from x.x.x.x to y.y.y.y 1723
pass from y.y.y.y 1723 to x.x.x.x
x.x.x.x->y.y.y.y:1723 = ok
y.y.y.y:1723->x.x.x.x любой порт = ок
Это значит что с порта 1723 я могу пройтись по всем твоим портам, поэтому разговор у нас получается короткий, учите матчасть.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipfw natd gre (pptp)" +/–

Сообщение от Pahanivo (ok) on 02-Ноя-10, 16:15

>> а если переписать ваше правило так - "спрыгнуть" с него стало легче?
>> зато однозначно легче стало отслеживать косяки ))
>> pass from x.x.x.x to y.y.y.y 1723
>> pass from y.y.y.y 1723 to x.x.x.x
> pass from x.x.x.x to y.y.y.y 1723
> pass from y.y.y.y 1723 to x.x.x.x
> x.x.x.x->y.y.y.y:1723 = ok
> y.y.y.y:1723->x.x.x.x любой порт = ок
> Это значит что с порта 1723 я могу пройтись по всем твоим
> портам, поэтому разговор у нас получается короткий, учите матчасть.
во-первых: чтобы "пройтись по всем твоим портам" надо как минимум сломать сервак провайдера
во-вторых: предположим этот параноидальный и невероятный случай
тогда легкая модификация правила
pass tcp from y.y.y.y 1723 to x.x.x.x 1025-65535
отсечет udp как клас, отсечет также все сервисные порты
в-третих: элементарное закрытие ненужных портов из оставшихся tcp сделает скан безсмысленным - естественно это нужно прописать отдельным правилами перед этим - или ты собрался одним правилом построить мега-укрепленный бастион?
в-четвертых: матчасть мне не надо советовать учить когда сами элементарного не понимаете

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 02-Ноя-10, 17:45

Удачи.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ipfw natd gre (pptp)" +/–

Сообщение от PavelR (??) on 02-Ноя-10, 19:11

>> а если переписать ваше правило так - "спрыгнуть" с него стало легче?
>> зато однозначно легче стало отслеживать косяки ))
>> pass from x.x.x.x to y.y.y.y 1723
>> pass from y.y.y.y 1723 to x.x.x.x
> pass from x.x.x.x to y.y.y.y 1723
> pass from y.y.y.y 1723 to x.x.x.x
> x.x.x.x->y.y.y.y:1723 = ok
> y.y.y.y:1723->x.x.x.x любой порт = ок
> Это значит что с порта 1723 я могу пройтись по всем твоим
> портам, поэтому разговор у нас получается короткий, учите матчасть.
ну что ж, давайте развлечения ради увидим набор правил целиком. ? =)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "ipfw natd gre (pptp)" +/–

Сообщение от BarS (??) on 29-Ноя-10, 13:07

> ну что ж, давайте развлечения ради увидим набор правил целиком. ? =)
ipfw add allow all from me to any keep-state
самое простое.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw natd gre (pptp)"	+/–
Сообщение от Pahanivo (ok) on 02-Ноя-10, 11:37
> Не могу понять, натю pptp трафик, соединение проходит, но через 100 секунд > соединение падает. Я так понимаю из-за правила > from x.x.x.x to y.y.y.y 1723 setup keep-state а какой глубинный смысл использовать динамическое правило для постоянного соединения? начитались хау-ту а понять чо к чему неудосужились? > какие время живут динамичсекие правила в man ipfw есть отдельный раздел SYSCTL VARIABLES > и где глянуть правила в нате (что > он сейчас натит). какие правила в нате?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 12:09
	> а какой глубинный смысл использовать динамическое правило для постоянного соединения? а глубинный смысл в том, что бы правило отработало на соединение и висело себе спокойно в динамических правилах и не было головной боли о том что можно с 1723 на 22 и другие порты зацепиться.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipfw natd gre (pptp)"	+/–
	Сообщение от Pahanivo (ok) on 02-Ноя-10, 12:28
	>> а какой глубинный смысл использовать динамическое правило для постоянного соединения? > а глубинный смысл в том, что бы правило отработало на соединение и > висело себе спокойно в динамических правилах и не было головной боли > о том что можно с 1723 на 22 и другие порты > зацепиться. в том то все и дело что ДИНАМИЧЕСКОЕ правило не висит "СПОКОЙНО" о том что можно с 1723 на 22 вы несете ахинею - что мешает сделать отдельные правила дял этого? какая связь 1723 и 22 вообще?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 12:47
	> о том что можно с 1723 на 22 вы несете ахинею - > что мешает сделать отдельные правила дял этого? какая связь 1723 и > 22 вообще? мешает то, что established - это всего лишь набор флагов.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ipfw natd gre (pptp)"	+/–
	Сообщение от Pahanivo (ok) on 02-Ноя-10, 13:12
	>> о том что можно с 1723 на 22 вы несете ахинею - >> что мешает сделать отдельные правила дял этого? какая связь 1723 и >> 22 вообще? > мешает то, что established - это всего лишь набор флагов. для решения разных задач используются разные инструменты - для соединений которые часто создаются и разрываются можно использовать динамические зачем для коннекта который висит постоянно использовать динамику? что бы наступить на грабли при первом же сетевом затыке?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 13:45
	>>> о том что можно с 1723 на 22 вы несете ахинею - >>> что мешает сделать отдельные правила дял этого? какая связь 1723 и >>> 22 вообще? >> мешает то, что established - это всего лишь набор флагов. > для решения разных задач используются разные инструменты - для соединений которые часто > создаются и разрываются можно использовать динамические > зачем для коннекта который висит постоянно использовать динамику? что бы наступить на > грабли при первом же сетевом затыке? У мну соединение не постоянное - зашли, поработали - ушли.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	6. "ipfw natd gre (pptp)"	+/–
	Сообщение от Pahanivo (ok) on 02-Ноя-10, 13:15
	>> о том что можно с 1723 на 22 вы несете ахинею - >> что мешает сделать отдельные правила дял этого? какая связь 1723 и >> 22 вообще? > мешает то, что established - это всего лишь набор флагов. а причем тут keep-state?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 13:19
	>>> о том что можно с 1723 на 22 вы несете ахинею - >>> что мешает сделать отдельные правила дял этого? какая связь 1723 и >>> 22 вообще? >> мешает то, что established - это всего лишь набор флагов. > а причем тут keep-state? keep-state хранит параметры именно соединения и спрыгнуть с него в любую сторону не получиться. для чего в примерах /etc/rc.firewall pass udp from me to any 53 keep-state хотя у удп нет соединения как такового.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "ipfw natd gre (pptp)"	+/–
	Сообщение от Pahanivo (ok) on 02-Ноя-10, 14:21
	>>>> о том что можно с 1723 на 22 вы несете ахинею - >>>> что мешает сделать отдельные правила дял этого? какая связь 1723 и >>>> 22 вообще? >>> мешает то, что established - это всего лишь набор флагов. >> а причем тут keep-state? > keep-state хранит параметры именно соединения и спрыгнуть с него в любую сторону > не получиться. а если переписать ваше правило так - "спрыгнуть" с него стало легче? зато однозначно легче стало отслеживать косяки )) pass from x.x.x.x to y.y.y.y 1723 pass from y.y.y.y 1723 to x.x.x.x ваше фраза про естаблишед все еще остается непонятной ))) > для чего в примерах /etc/rc.firewall > pass udp from me to any 53 keep-state > хотя у удп нет соединения как такового. ну уж явно не для того чтобы втыкать keep-state в каждой строке к тому же хотелось бы глянуть на весь ваш фаер - ибо что-то судить по одному правилу невозможно - так как хотя бы его место имеет большое значение
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 14:47
	> а если переписать ваше правило так - "спрыгнуть" с него стало легче? > зато однозначно легче стало отслеживать косяки )) > pass from x.x.x.x to y.y.y.y 1723 > pass from y.y.y.y 1723 to x.x.x.x pass from x.x.x.x to y.y.y.y 1723 pass from y.y.y.y 1723 to x.x.x.x x.x.x.x->y.y.y.y:1723 = ok y.y.y.y:1723->x.x.x.x любой порт = ок Это значит что с порта 1723 я могу пройтись по всем твоим портам, поэтому разговор у нас получается короткий, учите матчасть.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "ipfw natd gre (pptp)"	+/–
	Сообщение от Pahanivo (ok) on 02-Ноя-10, 16:15
	>> а если переписать ваше правило так - "спрыгнуть" с него стало легче? >> зато однозначно легче стало отслеживать косяки )) >> pass from x.x.x.x to y.y.y.y 1723 >> pass from y.y.y.y 1723 to x.x.x.x > pass from x.x.x.x to y.y.y.y 1723 > pass from y.y.y.y 1723 to x.x.x.x > x.x.x.x->y.y.y.y:1723 = ok > y.y.y.y:1723->x.x.x.x любой порт = ок > Это значит что с порта 1723 я могу пройтись по всем твоим > портам, поэтому разговор у нас получается короткий, учите матчасть. во-первых: чтобы "пройтись по всем твоим портам" надо как минимум сломать сервак провайдера во-вторых: предположим этот параноидальный и невероятный случай тогда легкая модификация правила pass tcp from y.y.y.y 1723 to x.x.x.x 1025-65535 отсечет udp как клас, отсечет также все сервисные порты в-третих: элементарное закрытие ненужных портов из оставшихся tcp сделает скан безсмысленным - естественно это нужно прописать отдельным правилами перед этим - или ты собрался одним правилом построить мега-укрепленный бастион? в-четвертых: матчасть мне не надо советовать учить когда сами элементарного не понимаете
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 02-Ноя-10, 17:45
	Удачи.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "ipfw natd gre (pptp)"	+/–
	Сообщение от PavelR (??) on 02-Ноя-10, 19:11
	>> а если переписать ваше правило так - "спрыгнуть" с него стало легче? >> зато однозначно легче стало отслеживать косяки )) >> pass from x.x.x.x to y.y.y.y 1723 >> pass from y.y.y.y 1723 to x.x.x.x > pass from x.x.x.x to y.y.y.y 1723 > pass from y.y.y.y 1723 to x.x.x.x > x.x.x.x->y.y.y.y:1723 = ok > y.y.y.y:1723->x.x.x.x любой порт = ок > Это значит что с порта 1723 я могу пройтись по всем твоим > портам, поэтому разговор у нас получается короткий, учите матчасть. ну что ж, давайте развлечения ради увидим набор правил целиком. ? =)
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	14. "ipfw natd gre (pptp)"	+/–
	Сообщение от BarS (??) on 29-Ноя-10, 13:07
	> ну что ж, давайте развлечения ради увидим набор правил целиком. ? =) ipfw add allow all from me to any keep-state самое простое.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору