URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 75288
[ Назад ]

Исходное сообщение
"IPFW"
Отправлено admin_scar , 23-Июл-07 01:03

Чем отличается
allow tcp from any to 10.115.34.190 dst-port 22
от
allow tcp from any 22 to 10.115.34.190
Если ничем, то почему второй вариант не работает?
Заранее спасибо.

Содержание

IPFW,crash, 02:26 , 23-Июл-07
- IPFW,admin_scar, 10:48 , 23-Июл-07
  - IPFW,Белоиванов Денис, 10:59 , 23-Июл-07
    - IPFW,Белоиванов Денис, 11:00 , 23-Июл-07
    - IPFW,admin_scar, 11:09 , 23-Июл-07
      - IPFW,admin_scar, 11:19 , 23-Июл-07
        
        IPFW,Белоиванов Денис, 11:35 , 23-Июл-07
        IPFW,vvv, 11:37 , 23-Июл-07

Сообщения в этом обсуждении

"IPFW"
Отправлено crash , 23-Июл-07 02:26

>Чем отличается
>
>allow tcp from any to 10.115.34.190 dst-port 22
>
>от
>
>allow tcp from any 22 to 10.115.34.190
>
>Если ничем, то почему второй вариант не работает?
>Заранее спасибо.
во втором варианте к вам должны коннектиться (то есть порт источника) с 22 порта.

"IPFW"
Отправлено admin_scar , 23-Июл-07 10:48

>во втором варианте к вам должны коннектиться (то есть порт источника) с
>22 порта.
спасибо, ну а вот это почему не работает?
allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
# rl1 - local interface

"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 10:59

>>во втором варианте к вам должны коннектиться (то есть порт источника) с
>>22 порта.
>
>спасибо, ну а вот это почему не работает?
>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>
># rl1 - local interface
Напиши.
allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
Будет работать.

"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 11:00

>[оверквотинг удален]
>>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>>
>># rl1 - local interface
>
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет работать.
Ошися rl1

"IPFW"
Отправлено admin_scar , 23-Июл-07 11:09

>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет работать.
а что такое setup keep-state ?
и почему не работает мой вариант, логически кажется правильно.

"IPFW"
Отправлено admin_scar , 23-Июл-07 11:19

у меня есть 2 правила
00204 allow tcp from 192.168.0.138 80,25,110,5190,443 to any via rl1 setup keep-state
и
00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1

по первому трафик не идет, а по второму идет.
что опять не так делаю?
не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.

"IPFW"
Отправлено Белоиванов Денис , 23-Июл-07 11:35

>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>
А что ты в итоге хочеш получить?

"IPFW"
Отправлено vvv , 23-Июл-07 11:37

>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>
Как вариант - поставить самым первым правилом
00001 check-state
и тогда правило
00204 allow tcp from 192.168.0.138 to any via 80,25,110,5190,443 rl1 setup keep-state
заработает (keep-state указывает, что файрвол должен сам создать динамические правила для поддержки этого соединения).
Только посмотрите, я несколько исправил 204 правило, т.к. скорее всего подразумевалось, что клиент не с портов 80,25 и т.д. должен коннектиться, а наоборот - клиент должен коннектиться на эти порты (иметь доступ к почте, WWW, оскопленному ICQ и пр.)