https://www.opennet.ru/openforum/vsluhforumID10/3847.html такая странность наблюдается, а точнее непонятность:<br>правила делятся на входящий и исходящий<br>исходящий tcp уходит наружу исключительно с keep-state<br>а входящий первым делом втыкается в check-state<br>никаких других check/keep-state и limit в правилах нет<br>есть tcp allow established во входящих, оно идёт после check-state<br>вопрос всплывает, когда команда ipfw show показывает действующие правила и кол-во их<br>срабатываний. так вот check-state сработало 0 раз везде, на всех серверах<br><br>т.е. получается, что пакеты работают только по established, но задумка то была, чтобы при<br>уходе им присваивался некий идентификатор, который потом проверяется на входе через<br>check-state<br>а он не проверяется<br><br>в чём тут кроется проблема, можете сказать?<br> https://www.opennet.ru/openforum/vsluhforumID10/3847.html#12 Mon, 30 Jun 2008 18:07:37 GMT &gt;[оверквотинг удален]<br>&gt;+ динамические правила <br>&gt;насколько я смог разобраться, эти 2 вещи не совместимы никак <br>&gt;только прописав статически оно работает так, как ожидается <br>&gt;<br>&gt;есть такой вопрос - а насколько чреваты запреты на established пакеты, например <br>&gt;для mail? <br>&gt;если у меня MTA принимает из инета почту, в логах иногда проскакивает <br>&gt;облом с моего 25 порта (established) <br>&gt;пока что разрешил, хотя разрешение на просто отсылку пакетов с 25 в <br>&gt;инет есть с setup keep-state <br><br>Чреваты только тем, что при окончании срока действия динамического правила по каким-либо причинам (например, нет активности трафика), дальнейшие пакеты будут отбрасываться правилом, запрещающим established пакеты, что равнозначно разрыву соединения.<br> https://www.opennet.ru/openforum/vsluhforumID10/3847.html#11 Mon, 30 Jun 2008 06:29:57 GMT вообщем, одна из главных непоняток "почему не работает" была связана с дивертом + динамические правила<br>насколько я смог разобраться, эти 2 вещи не совместимы никак<br>только прописав статически оно работает так, как ожидается<br><br>есть такой вопрос - а насколько чреваты запреты на established пакеты, например для mail?<br>если у меня MTA принимает из инета почту, в логах иногда проскакивает облом с моего 25 порта (established)<br>пока что разрешил, хотя разрешение на просто отсылку пакетов с 25 в инет есть с setup keep-state<br> https://www.opennet.ru/openforum/vsluhforumID10/3847.html#10 Thu, 19 Jun 2008 07:35:26 GMT &gt;[оверквотинг удален]<br>&gt;ну это вообщем-то вытекает из слова established, хотя и не приятно <br>&gt;2 - не работает клиент-банк например. видимо он криво организован и зависит <br>&gt;от established соединений явно, либо я криво сделан <br>&gt;3 - логи начинают пухнуть от кучи непропущенных established соединений <br>&gt;непонятно, почему эти чудные динамические правила просто не делают чего от них <br>&gt;ожидают, а именно - пропускать пакеты по свежесозданным правилам. фактически мы <br>&gt;имеем правило на 5 минут (которое обновляется каждый раз, когда им <br>&gt;пользуются) - пропускать все пакеты из A в B и обратно. <br>&gt;однако ж он почему то зависит ещё и от уже установленных <br>&gt;соединений, причём сильно зависит и страдает <br><br>Без Вашего набора правил (ipfw show) разговор беспредметный. Да и всё, что Вы только что написали, вполне очевидно, если хоть ненадолго включить голову. Приведите список правил, распишу Вам что и как, если сами понять не можете.<br><br>Вкратце, добавлю вот что: набор правил можно сделать полностью динамическим, тогда est https://www.opennet.ru/openforum/vsluhforumID10/3847.html#9 Thu, 19 Jun 2008 06:56:39 GMT Что именно Вам непонятно - остаётся загадкой. <br><br><br>ну например вот что: если он так волшебно организовывает динамические правила, почему остаются попытки отдельным совершенно образом пройти через established<br>если эти пакеты заблокировать (как в манах советуют упорно), то: 1 - при перечитывании правил рубятся все коннекты. включая ssh и все остальные. т.е. отдельные правила надо создавать с established для ssh, тогда не придётся снова коннектится<br>ну это вообщем-то вытекает из слова established, хотя и не приятно<br>2 - не работает клиент-банк например. видимо он криво организован и зависит от established соединений явно, либо я криво сделан<br>3 - логи начинают пухнуть от кучи непропущенных established соединений<br>непонятно, почему эти чудные динамические правила просто не делают чего от них ожидают, а именно - пропускать пакеты по свежесозданным правилам. фактически мы имеем правило на 5 минут (которое обновляется каждый раз, когда им пользуются) - пропускать все пакеты из A в B и обратно. однако ж он почему т https://www.opennet.ru/openforum/vsluhforumID10/3847.html#8 Wed, 18 Jun 2008 12:25:53 GMT &gt;[оверквотинг удален]<br>&gt;создавал целые файлы, громоздкие, невъебенно защищённые, однако же перелопаченные впоследствии и оптимизированные <br>&gt;несколько раз <br>&gt;в выходные на работе тусовался, в конце рабочего дня оставался до 9-10, <br>&gt;потому что мне нужно было вкурить ipfw <br>&gt;и я таки выкурил это ipfw основательно, так, что могу теперь вслепую <br>&gt;создать свод правил фактически любой сложности и элегантные. с полным пониманием <br>&gt;куда и чего пойдёт и не пойдёт, который будет выпускать своих <br>&gt;куда надо, и не впускать чужих куда не надо. <br>&gt;однако ж, ввиду моего немноголетнего отнюдь опыта и ограниченного кол-ва настроенных серверов, <br>&gt;остаются ещё некоторые пробелы, которые я желаю закрыть. <br><br>Итак, вкратце и на пальцах:<br><br>ipfw использует два вида набора правил: статические и динамические. Статические являются постоянными и имеют вид (простейший случай):<br><br>ipfw add 100 allow tcp from any to me 25<br>ipfw add 200 allow tcp from me 25 to any<br><br>Эти два правила позволяют проходить трафику к нашему серверу по 25 https://www.opennet.ru/openforum/vsluhforumID10/3847.html#7 Wed, 18 Jun 2008 11:40:13 GMT да я это всё проходил уже<br>когда я начинал только работать с фрёй, первым делом я упёрся в файрволл<br>и, поскольку файрволл это начало всей сетевой системы, я ему посвятил солидный отрезок своего образования<br>недели 3 я сидел безвылазно и тестил правила, курил интернет, статьи, форумы и прочие маны. создавая свои куски и проверяя их работоспособность на живой офисной сетке.<br>создавал целые файлы, громоздкие, невъебенно защищённые, однако же перелопаченные впоследствии и оптимизированные несколько раз<br>в выходные на работе тусовался, в конце рабочего дня оставался до 9-10, потому что мне нужно было вкурить ipfw<br>и я таки выкурил это ipfw основательно, так, что могу теперь вслепую создать свод правил фактически любой сложности и элегантные. с полным пониманием куда и чего пойдёт и не пойдёт, который будет выпускать своих куда надо, и не впускать чужих куда не надо.<br>однако ж, ввиду моего немноголетнего отнюдь опыта и ограниченного кол-ва настроенных серверов, остаются ещё некоторые пробелы, которые я желаю закры https://www.opennet.ru/openforum/vsluhforumID10/3847.html#6 Wed, 18 Jun 2008 10:08:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Короче, man ipfw. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;ну оно показывает набор соединений в состоянии STATE.. <br>&gt;&gt;&gt;а проходят ли они проверку через check-state всё-равно не ясно <br>&gt;&gt;&gt;check-state всё-равно 0 <br>&gt;&gt;&gt;так что вопрос остаётся открытым - как это дело проверить? <br>&gt;&gt;<br>&gt;&gt;Вы блондинко? <br>&gt;<br>&gt;нет, пытаюсь до конца понять, как оно работает <br><br>Тогда внимательно читайте man ipfw - там исчерпывающая информация. Плюс возьмите лист бумаги и накидайте схему прохождения пакетов. Сопоставьте одно с другим и у Вас появится понимание. Вполне серьёзно.<br> https://www.opennet.ru/openforum/vsluhforumID10/3847.html#5 Wed, 18 Jun 2008 07:33:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;опция -d в ipfw. Там и счётчик увидите. :) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Короче, man ipfw. <br>&gt;&gt;<br>&gt;&gt;ну оно показывает набор соединений в состоянии STATE.. <br>&gt;&gt;а проходят ли они проверку через check-state всё-равно не ясно <br>&gt;&gt;check-state всё-равно 0 <br>&gt;&gt;так что вопрос остаётся открытым - как это дело проверить? <br>&gt;<br>&gt;Вы блондинко? <br><br>нет, пытаюсь до конца понять, как оно работает<br> https://www.opennet.ru/openforum/vsluhforumID10/3847.html#4 Tue, 17 Jun 2008 14:37:06 GMT &gt;&gt;Правило с check-state всегда будет содержать ноль. Для просмотра динамических правил существует <br>&gt;&gt;опция -d в ipfw. Там и счётчик увидите. :) <br>&gt;&gt;<br>&gt;&gt;Короче, man ipfw. <br>&gt;<br>&gt;ну оно показывает набор соединений в состоянии STATE.. <br>&gt;а проходят ли они проверку через check-state всё-равно не ясно <br>&gt;check-state всё-равно 0 <br>&gt;так что вопрос остаётся открытым - как это дело проверить? <br><br>Вы блондинко?<br>