https://www.opennet.ru/openforum/vsluhforumID1/83037.html народ, помогите разобраться с динамичекими правилами:<br><br>если у меня конструкция<br><br>....<br>add 100 chek-state<br>add 200 nat 1 ip from any to any via {outinterface}<br>....<br>add 900 allow ip from any to any http keep-state via {outinterface}<br><br>идея была такая:<br>хотел чтоб натилось не всё подряд, а только то, что удовлетворяет правилу 900,<br> а получилось (похоже), что всё что удовлетворяет правилу 900 пускается в обход НАТа,<br><br>Как делать чтобы соединения инициируемые мной и ответы на них поподали в нат, а всё остальное банилось?<br><br>к примеру: пакет "от 192.168.0.5:1088 (внутренняя сеть) на 10.124.5.80:80 (внешняя сеть с левым диапазоном, пример)" попал в НАТ, стал пакетом "от 10.16.0.8:1088 (внутренняя сеть) на 10.124.5.80:8" ушёл через внешний интерфейс<br>со внешнего интерфеса пришёл ответ: пакет "от 10.124.5.80:80 на 10.16.0.8:1088", надо чтоб он попал в НАТ, а спам пакет "от 10.4.50.80:80 на 10.16.0.8:1088" в НАТ не попал.<br><br>(пример выдуманный)<br><br>Как правильно напиать правила?<br><br>Заранее спасибо, с уважение https://www.opennet.ru/openforum/vsluhforumID1/83037.html#19 Fri, 28 Nov 2008 12:43:56 GMT &gt;&gt;&gt;не бойтесь эксперементировать и читать логи <br>&gt;&gt;<br>&gt;&gt;Да вообщем в логах и сижу, из них увидел, что почему-то нат <br>&gt;&gt;не хачет, принемать пакеты, перекинутые таким образом. <br>&gt;<br>&gt;вы не правильно поняли смысл опции chek-state <br><br>ТАК подскажите, пожайлуста, что за зверь такой chek-state и для чего он вообще нужен?<br><br>Зарание СПАСИБО!!!!!!!<br><br>ЗЫ: Без chek-state всё работает, но очень хочится разобраться :)<br><br>С уважением,<br>Alex123.<br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#18 Fri, 28 Nov 2008 02:22:03 GMT &gt;&gt;не бойтесь эксперементировать и читать логи <br>&gt;<br>&gt;Да вообщем в логах и сижу, из них увидел, что почему-то нат <br>&gt;не хачет, принемать пакеты, перекинутые таким образом. <br><br>вы не правильно поняли смысл опции chek-state<br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#17 Thu, 27 Nov 2008 20:07:18 GMT &gt;не бойтесь эксперементировать и читать логи <br><br>Да вообщем в логах и сижу, из них увидел, что почему-то нат не хачет, принемать пакеты, перекинутые таким образом.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#16 Thu, 27 Nov 2008 18:52:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;это написано вот тут: <br>&gt;&gt;http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=8&manpath=FreeBSD+7.0-RELEASE&format=html <br>&gt;&gt;<br>&gt;&gt;в частности: <br>&gt;<br>&gt;У меня ядерный нат, но хотелось бы всё-таки разобраться с check-state, и <br>&gt;динамичскими правилами вообще, раз уж связался :) <br>&gt;<br>&gt;т.е. достаточно <br>&gt;в строку конфигурации нат прописать deny_in reset same_ports? <br><br>не бойтесь эксперементировать и читать логи<br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#15 Thu, 27 Nov 2008 18:50:03 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;в случае импользования natd можно добавить опцию явно: <br>&gt;deny_incoming <br>&gt;<br>&gt;ядерный нат постпает так по умолчанию. <br>&gt;<br>&gt;это написано вот тут: <br>&gt;http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=8&manpath=FreeBSD+7.0-RELEASE&format=html <br>&gt;<br>&gt;в частности: <br><br>У меня ядерный нат, но хотелось бы всё-таки разобраться с check-state, и динамичскими правилами вообще, раз уж связался :)<br><br>т.е. достаточно<br>в строку конфигурации нат прописать deny_in reset same_ports? <br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#14 Thu, 27 Nov 2008 18:46:39 GMT &gt;&gt;вас ничего не смутило в строчке <br>&gt;&gt;"Неофициальный перевод документации по ipfw FreeBSD 4.x <br>&gt;&gt;" <br>&gt;&gt;? Нет? Не смутило? Вы в курсе какая сейчас версия фри <br>&gt;&gt;уже? <br>&gt;<br>&gt;У меня 7-ая, <br>&gt;но ман на английском не отличается в части динамических правил. На <br>&gt;сколько я смог разобрать. <br><br>в 4-й ветке небыло ядерного ната<br>вы упорно продолжаете читать мануал на по, и используете функции которые в том по отсутствовали...<br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#13 Thu, 27 Nov 2008 18:44:25 GMT &gt;вас ничего не смутило в строчке <br>&gt;"Неофициальный перевод документации по ipfw FreeBSD 4.x <br>&gt;" <br>&gt;? Нет? Не смутило? Вы в курсе какая сейчас версия фри <br>&gt;уже? <br><br>У меня 7-ая,<br>но ман на английском не отличается в части динамических правил. На сколько я смог разобрать.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#12 Thu, 27 Nov 2008 18:41:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Какую идею почерпнутую не из мана вы хотите услышать? <br>&gt;&gt;в маны вас уже направили...готовых примеров в инете полно <br>&gt;<br>&gt;ман я прочёл, но не понял, как оригинал, так и с <br>&gt;<br>&gt;http://www.opennet.ru/base/net/ipfw_man.txt.html <br>&gt;<br>&gt;По тому, что я прочёл (по ману), что я написал должно работать, <br>&gt;но увы :(( <br><br>вас ничего не смутило в строчке<br>"Неофициальный перевод документации по ipfw FreeBSD 4.x<br>"<br>? Нет? Не смутило? Вы в курсе какая сейчас версия фри уже?<br> https://www.opennet.ru/openforum/vsluhforumID1/83037.html#11 Thu, 27 Nov 2008 18:37:50 GMT &gt;&gt;вы не правильно поняли смысл опции chek-state <br>&gt;&gt;напишите правила файрвола без использования опций chek-state <br>&gt;<br>&gt;Пожайлуста, разясните что такое chek-state, или как написать правила, в которых &gt;учитывается кто инициировал соединение:<br><br>стабильность.... стабильность это прекрасно (с) Конфуций<br><br>входящие в нат пакеты не имеющие исходящего соответствия -убиваются.<br><br>в случае импользования natd можно добавить опцию явно:<br>deny_incoming<br><br>ядерный нат постпает так по умолчанию.<br><br>это написано вот тут: <br>http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=8&manpath=FreeBSD+7.0-RELEASE&format=html<br><br>в частности:<br>===============================================================<br>NAT, REDIRECT AND LSNAT<br> First redirect all the traffic to nat instance 123:<br><br> ipfw add nat 123 all from any to any<br><br> Then to configure nat instance 123 to alias all the outgoing traffic with<br> ip 192.168.0.123, blocking all incoming connections, trying to keep same<br> ports on both sides, clearing