forum.opennet.ru - "Некорректная обработка правил IPFW" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Некорректная обработка правил IPFW"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Некорректная обработка правил IPFW"	+/–
Сообщение от good_night (ok) on 07-Июн-11, 13:26
Доброго всем. Имеется 7.3. Хочу сделать ее открытой только для нескольких ip. #!/bin/sh fw="/sbin/ipfw -q " $fw -f flush $fw add check-state $fw -f pipe flush $fw -f queue flush IIF="ng0" NatIP="2.2.2.2" LanOut="rl0" LanIn="rl1" LanIp="192.168.1.2" $fw nat 1 config if ${IIF} $fw add 10 nat 1 ip from 192.168.1.0/24 to any $fw add 20 nat 1 ip from any to me ${fw} add allow ip from any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ только с таким правилом ${fw} add allow ip from ${LanIp} to any in via ${LanIn} ${fw} add allow ip from any to ${LanIp} out via ${LanIn} ${fw} add deny all from any to any Понятное дело,правило работает через жопу. ${fw} add allow ip from 100.100.100.100 to me не катит. Подскажите,пожалуйста.Где ошибся?Спасибо
Ответить \| Правка \| Cообщить модератору

Оглавление

Некорректная обработка правил IPFW, kerilka, 15:19 , 07-Июн-11, (1)

Некорректная обработка правил IPFW, good_night, 17:06 , 07-Июн-11, (2)

Некорректная обработка правил IPFW, kerilka, 18:38 , 07-Июн-11, (3)
Некорректная обработка правил IPFW, PavelR, 20:59 , 07-Июн-11, (4)

Некорректная обработка правил IPFW, good_night, 22:12 , 07-Июн-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Некорректная обработка правил IPFW" +/–

Сообщение от kerilka on 07-Июн-11, 15:19

>[оверквотинг удален]
> $fw add 10 nat 1 ip from 192.168.1.0/24 to any
> $fw add 20 nat 1 ip from any to me
> ${fw} add allow ip from  any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ
> только с таким правилом
> ${fw} add allow ip from ${LanIp} to any in via ${LanIn}
> ${fw} add allow ip from any to ${LanIp} out via ${LanIn}
> ${fw} add deny all from any to any
> Понятное дело,правило работает через жопу.
> ${fw} add allow ip from 100.100.100.100 to me не катит.
> Подскажите,пожалуйста.Где ошибся?Спасибо
ipfw sh покажите для начала) а то сначала у вас правило добавляется с номером 100, потом вы вносите под номерами 10 и 20 правила ната...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Некорректная обработка правил IPFW" +/–

Сообщение от good_night (ok) on 07-Июн-11, 17:06

> ipfw sh покажите для начала) а то сначала у вас правило добавляется
> с номером 100, потом вы вносите под номерами 10 и 20
> правила ната...
den# ipfw show
00010 64969  8429505 nat 1 ip from 192.168.1.0/24 to any
00020 34809 15650940 nat 1 ip from any to me
00100     0        0 check-state
00200    29     1856 allow ip from any to 100.100.100.100
00300     0        0 allow ip from 192.168.1.2 to any in via rl1
00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1
00500 10024   432503 deny ip from any to any
65535   578    87343 allow ip from any to any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Некорректная обработка правил IPFW" +/–

Сообщение от kerilka on 07-Июн-11, 18:38

>[оверквотинг удален]
> 00100     0
>  0 check-state
> 00200    29     1856 allow ip
> from any to 100.100.100.100
> 00300     0
>  0 allow ip from 192.168.1.2 to any in via rl1
> 00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1
> 00500 10024   432503 deny ip from any to any
> 65535   578    87343 allow ip from any
> to any
ну вот, всё ведь прозрачно) теперь видно, где запрещающее правило у вас идёт. теперь перед ним setup/established/allow (в зависимости от целей) с адресов, с которых можно заходить на него)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Некорректная обработка правил IPFW" +/–

Сообщение от PavelR (??) on 07-Июн-11, 20:59

>> ipfw sh покажите для начала) а то сначала у вас правило добавляется
>> с номером 100, потом вы вносите под номерами 10 и 20
>> правила ната...
Налицо непонимание работы ipfw:
1) транзитные пакеты проходят сквозь правила два раза - на входе и на выходе, надо писать правила с учетом этого факта
2) посмотрите man ipfw на тему one_pass, и всё что с этим связано.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Некорректная обработка правил IPFW" +/–

Сообщение от good_night (ok) on 07-Июн-11, 22:12

>>> ipfw sh покажите для начала) а то сначала у вас правило добавляется
>>> с номером 100, потом вы вносите под номерами 10 и 20
>>> правила ната...
> Налицо непонимание работы ipfw:
> 1) транзитные пакеты проходят сквозь правила два раза - на входе и
> на выходе, надо писать правила с учетом этого факта
> 2) посмотрите man ipfw на тему one_pass, и всё что с этим
> связано.
Ребят,дико благодарен :)
net.inet.ip.fw.one_pass: 1 помогло.
Спасибо.
upd.не не помогло..буду разбираться дальше.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Некорректная обработка правил IPFW"	+/–
Сообщение от kerilka on 07-Июн-11, 15:19
>[оверквотинг удален] > $fw add 10 nat 1 ip from 192.168.1.0/24 to any > $fw add 20 nat 1 ip from any to me > ${fw} add allow ip from any to 100.100.100.100(!!!!!)Удаленная машина,получает доступ > только с таким правилом > ${fw} add allow ip from ${LanIp} to any in via ${LanIn} > ${fw} add allow ip from any to ${LanIp} out via ${LanIn} > ${fw} add deny all from any to any > Понятное дело,правило работает через жопу. > ${fw} add allow ip from 100.100.100.100 to me не катит. > Подскажите,пожалуйста.Где ошибся?Спасибо ipfw sh покажите для начала) а то сначала у вас правило добавляется с номером 100, потом вы вносите под номерами 10 и 20 правила ната...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Некорректная обработка правил IPFW"	+/–
	Сообщение от good_night (ok) on 07-Июн-11, 17:06
	> ipfw sh покажите для начала) а то сначала у вас правило добавляется > с номером 100, потом вы вносите под номерами 10 и 20 > правила ната... den# ipfw show 00010 64969 8429505 nat 1 ip from 192.168.1.0/24 to any 00020 34809 15650940 nat 1 ip from any to me 00100 0 0 check-state 00200 29 1856 allow ip from any to 100.100.100.100 00300 0 0 allow ip from 192.168.1.2 to any in via rl1 00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1 00500 10024 432503 deny ip from any to any 65535 578 87343 allow ip from any to any
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Некорректная обработка правил IPFW"	+/–
	Сообщение от kerilka on 07-Июн-11, 18:38
	>[оверквотинг удален] > 00100 0 > 0 check-state > 00200 29 1856 allow ip > from any to 100.100.100.100 > 00300 0 > 0 allow ip from 192.168.1.2 to any in via rl1 > 00400 34398 15623299 allow ip from any to 192.168.1.2 out via rl1 > 00500 10024 432503 deny ip from any to any > 65535 578 87343 allow ip from any > to any ну вот, всё ведь прозрачно) теперь видно, где запрещающее правило у вас идёт. теперь перед ним setup/established/allow (в зависимости от целей) с адресов, с которых можно заходить на него)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Некорректная обработка правил IPFW"	+/–
	Сообщение от PavelR (??) on 07-Июн-11, 20:59
	>> ipfw sh покажите для начала) а то сначала у вас правило добавляется >> с номером 100, потом вы вносите под номерами 10 и 20 >> правила ната... Налицо непонимание работы ipfw: 1) транзитные пакеты проходят сквозь правила два раза - на входе и на выходе, надо писать правила с учетом этого факта 2) посмотрите man ipfw на тему one_pass, и всё что с этим связано.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Некорректная обработка правил IPFW"	+/–
	Сообщение от good_night (ok) on 07-Июн-11, 22:12
	>>> ipfw sh покажите для начала) а то сначала у вас правило добавляется >>> с номером 100, потом вы вносите под номерами 10 и 20 >>> правила ната... > Налицо непонимание работы ipfw: > 1) транзитные пакеты проходят сквозь правила два раза - на входе и > на выходе, надо писать правила с учетом этого факта > 2) посмотрите man ipfw на тему one_pass, и всё что с этим > связано. Ребят,дико благодарен :) net.inet.ip.fw.one_pass: 1 помогло. Спасибо. upd.не не помогло..буду разбираться дальше.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору