Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

IPFW NAT - порядок прохождения правил, neekonoff (ok), 17-Апр-17, (0) [смотреть все] –1 начнём с трbвиального gateway_enable YES в etc rc conf включил на хосте 10 1 , Аноним (-), 18:39 , 17-Апр-17, (1) // cmd 500 deny tcp from any to any established in via em0 - ХЕРНЯ, Аноним (-), 18:41 , 17-Апр-17, (2) // Почему херня Оно запрещает ACK пакеты, которые не соответствуют динамической та, neekonoff (ok), 19:02 , 17-Апр-17, (4) Ок Отключил правило 500 Все равно болт , neekonoff (ok), 19:22 , 17-Апр-17, (5) // А теперь включи log, man tcpdump, напряги внимание это не набор правил, а скрипт, Pahanivo (ok), 00:07 , 18-Апр-17, (6) gt оверквотинг удален fxp0 - внутренний интерфейс 10 1 10 1em0 - внешний 1 2 3, neekonoff (ok), 01:47 , 18-Апр-17, (7) , neekonoff (ok), 01:54 , 18-Апр-17, (8) cmd 600 tcp from any to 10 1 10 12 25,443 in via em0 setup keep-stateубери нахе, Pahanivo (ok), 10:24 , 19-Апр-17, (11) Да, конечно И firewall_nat_enable Все это есть , neekonoff (ok), 19:00 , 17-Апр-17, (3) Вспомнить бы про deny_in Вроде, в нат попадёт входящий - ответ на исходящий, но, Дум Дум (?), 14:48 , 18-Апр-17, (9) // Случайный трафик извне - нет Но трафик на порт 80 - обработается, так как есть , neekonoff (ok), 16:12 , 18-Апр-17, (10)   // Тогда на проходе OUT доходит до правила 200 и отправляется на внешний адрес с ад, Дум Дум (?), 10:35 , 19-Апр-17, (12)   // Да, я этого не учел совсем Спасибо , neekonoff (ok), 23:11 , 19-Апр-17, (15)   с динамическими правилами вы не разобралисьдля проверки работоспособности выполн, михалыч (ok), 11:54 , 19-Апр-17, (13) // пусть для начала научится ошибки в консоли читать см выше афтар походу осоз, Pahanivo (ok), 16:29 , 19-Апр-17, (14) gt оверквотинг удален Подозреваю, что покажется бредом, но мне нравится логика, neekonoff (ok), 23:16 , 19-Апр-17, (16) –1 // gt оверквотинг удален ну почему же покажется бредом вовсе нет 128515 и мне , Аноним (-), 20:02 , 20-Апр-17, (17) // gt оверквотинг удален Сарказм detected , neekonoff (ok), 21:22 , 20-Апр-17, (19) Проблему я решил таким образом другие адреса и интерфейсы, мушто на типа тесто, neekonoff (ok), 21:22 , 20-Апр-17, (18) // это вряд лия не знаю, заработает ли у вас ваша схема после переноса со стенда,ли, михалыч (ok), 11:10 , 21-Апр-17, (20) // Я держал в уме то, что мне нужно будет транслировать трафик на порты 80 443 и 25, neekonoff (ok), 19:04 , 24-Апр-17, (25) рабочий пример правил с сохранением состояний и поддержкой NATэтот вариант в нек, михалыч (ok), 20:08 , 21-Апр-17, (21) // Я не поленислся и проверил то, что вы написали Скажите, для чего вам правила 700, neekonoff (ok), 16:52 , 23-Апр-17, (22) // ах вот даже как гыг-гыг 128515 128515 так это же тебе надо было 9757 это , Аноним (-), 19:43 , 23-Апр-17, (23) // Ok, скажите, что у вас с переменной sysctl net inet ip fw one_pass конкретно с , neekonoff (ok), 18:01 , 24-Апр-17, (24) хм по идее эта переменная ни на что не влияет, кроме как на пайпы dummynet и у, михалыч (ok), 19:55 , 24-Апр-17, (26) Эта переменная влияет на правила nat так же как и на правила dummynet И эти прав, neekonoff (ok), 00:17 , 25-Апр-17, (28) да, проверено, с natd действительно работаеткаюсь, с nat проверить сейчас возмож, михалыч (ok), 18:02 , 25-Апр-17, (30) если используешь стенд с серыми адресамиубери все правила до 100 если скопирова, Аноним (-), 20:33 , 24-Апр-17, (27) Параметр unreg_only предписывает проводить маскировку только для тех исходящих п, neekonoff (ok), 00:22 , 25-Апр-17, (29) 1,9,13,18,21

Сообщения

[Сортировка по времени | RSS]

	10. "IPFW NAT - порядок прохождения правил"	+/–
	Сообщение от neekonoff (ok), 18-Апр-17, 16:12
	>> ipfw -q nat 1 config ip 1.2.3.4 same_ports reset deny_in \ >> > Вспомнить бы про deny_in. Вроде, в нат попадёт входящий - ответ на > исходящий, но попытка установки соединения извне - нет...? Случайный трафик извне - нет. Но трафик на порт 80 - обработается, так как есть папаметр "redirect_port..".
	Ответить | Правка | Наверх | Cообщить модератору

	12. "IPFW NAT - порядок прохождения правил"	+/–
	Сообщение от Дум Дум (?), 19-Апр-17, 10:35
	>>Ответный трафик от хоста 10.1.10.12 >>На проходе IN: >>4. Доходит до правила 020, входит из прохода IN и попадает в проход OUT. >>На проходе OUT: >>5. Доходит до правила 200 и отправляется на внешний адрес (т.к. запись о соединении >>уже есть в динамической таблице). Тогда на проходе OUT доходит до правила 200 и отправляется на внешний адрес с адресом отправителя 10.1.10.12... ?
	Ответить | Правка | Наверх | Cообщить модератору

	15. "IPFW NAT - порядок прохождения правил"	+/–
	Сообщение от neekonoff (ok), 19-Апр-17, 23:11
	>>>Ответный трафик от хоста 10.1.10.12 >>>На проходе IN: >>>4. Доходит до правила 020, входит из прохода IN и попадает в проход OUT. >>>На проходе OUT: >>>5. Доходит до правила 200 и отправляется на внешний адрес (т.к. запись о соединении >>уже есть в динамической таблице). > Тогда на проходе OUT доходит до правила 200 и отправляется на внешний > адрес с адресом отправителя 10.1.10.12... ? Да, я этого не учел совсем.. Спасибо!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема