форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPFilter не всегда загружает правила в ядро"
Сообщение от Nmrv on 28-Сен-03, 10:40  (MSK)
Прошу помощи у граммотных людей. Стоит FreeBSD 5.0 + IPFilter (он же ipf, т.е. не ipfw) Когда я пытаюсь загружать правила ipf где прописаны не ip, а имена host'ов, то firewall сразу же старается их отрезолвить. Если хотябы одно из правил не резолвится, то и в ядро они не загружаются. Мне просто надо вести подсчет трафика не по ip, а по именам ПК. /etc/ipf.rules   count in on rl0 from any to fin.eng.local   count in on rl0 from any to voyager.eng.local   count in on rl0 from any to ...   count in on rl0 from any to ... Правила загружаю командой   ipf -Fa -f /etc/ipf.rules После этой команды стоит DNS серверу сказать, что не могу найти fin.eng.local то ipf не загрузит ни первое, ни второе правило. Возможно, что так и должно быть, но может у кого-нибудь есть удачный опыт обмана ipf. Почему мне это надо: у меня в сети много мобильных пользователей, которых может не быть в офисе неделями и поэтому записей о них нет в DNS. Однако они могут позже подключаться. Мне кажется, что не верно каждый раз добавлять новые правила. Вот я и прописал все ПК сразу, чтобы когда они подключались, считался траффик.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFilter не всегда загружает правила в ядро"
Сообщение от devnull on 28-Сен-03, 19:34  (MSK)
похожая трабла в линуксе: masquerading - правила Iptables в /etc/ppp/firewall-masq не срабатывают, потому что ppp0 к этому моменту не поднят. Руками пишу bash /etc/ppp/firewall-masq - все работает.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPFilter не всегда загружает правила в ядро"
	Сообщение от Nmrv on 29-Сен-03, 13:05  (MSK)
	>потому что ppp0 к этому моменту не поднят. Руками пишу bash >/etc/ppp/firewall-masq - все работает. Спасибо за отклик но решения руками я сразу нашел и сам - работает. Но у меня проблемы возникаю при перезагрузке :-( Систему я администрирую удаленно, поэтому постоянно за ней не слежу. Может у Вас есть еще идеи?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFilter не всегда загружает правила в ядро"
Сообщение от poige on 29-Сен-03, 08:53  (MSK)
>Прошу помощи у граммотных людей. >Стоит FreeBSD 5.0 + IPFilter (он же ipf, т.е. не ipfw) [...] >Мне кажется, что не верно каждый раз добавлять новые правила. Вот >я и прописал все ПК сразу, чтобы когда они подключались, считался >траффик. "грамотный" пишется с одной "м", "трафик" -- с одной "ф". Далее, несколько правил, которые я рекомендую соблюдать: 1) Не используй DNS-имена в правилах пакетных фильтров. Из этого правила есть исключение: Можно использовать DNS-имена, если они определены в /etc/hosts. 2) Не используй пакетные фильтры для учета трафика. Из этого правила есть исключение: Если речь идет не об отладке правил firewall, или правило firewall служит только "перемычкой" (ipfw's divert, например). Есть еще много правил и советов, но не все сразу. /poige -- http://www.i.morning.ru/~poige/
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPFilter не всегда загружает правила в ядро"
	Сообщение от Nmrv on 29-Сен-03, 13:00  (MSK)
	>1) Не используй DNS-имена в правилах пакетных фильтров. Из этого >правила есть исключение: Можно использовать DNS-имена, если они >определены в /etc/hosts. По каким причинам это делать не желательно? У меня имена ПК стабильные, а вот ip могут получать разные. >2) Не используй пакетные фильтры для учета трафика. Из этого правила >есть исключение: Если речь идет не об отладке правил firewall, или >правило firewall служит только "перемычкой" (ipfw's divert, например). Я использую в IPFilter правила count только для того, чтобы IPA с них снимала статистику.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IPFilter не всегда загружает правила в ядро"
	Сообщение от poige on 30-Сен-03, 17:23  (MSK)
	>>1) Не используй DNS-имена в правилах пакетных фильтров. Из этого >>правила есть исключение: Можно использовать DNS-имена, если они >>определены в /etc/hosts. > >По каким причинам это делать не желательно? У меня имена ПК стабильные, >а вот ip могут получать разные. Посмотри, например, /etc/rc.network:         # Establish ipfilter ruleset as early as possible (best in         # addition to IPFILTER_DEFAULT_BLOCK in the kernel config file) и посмотри, что делается *после* того, как загружаются правила. Очевидно, что если firewall настраивается так рано, то ни о каком доступе к DNS-серверам речи идти не может. Вообще, в любой продуманной системе firewall инициализируется как можно скорее. > >>2) Не используй пакетные фильтры для учета трафика. Из этого правила >>есть исключение: Если речь идет не об отладке правил firewall, или >>правило firewall служит только "перемычкой" (ipfw's divert, например). > >Я использую в IPFilter правила count только для того, чтобы IPA с >них снимала статистику. И чего, чем больше хостов, тем больше правил вида "count"? /poige -- http://www.i.morning.ru/~poige/
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.