URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74383
[ Назад ]

Исходное сообщение
"правила IPFW до и после "
Отправлено Mutant , 31-Май-07 12:33

был IPFW первой версии
была такая конструкция правил:
05000 allow ip from хх.хх.хх.хх to уу.уу.уу.уу
05800 divert 8668 ip from any to any via rl0
все работало прекрасно
По необходимости перешли на IPFW2
и данная конструкция перестала работать.
Счетчик пакетов исправно увиличивается. Такое впечетление что пакет попавший под данное правило дальше не передается по очереди, а отбрасывается.
Если меняешь правила местами все работает по прежнему, но во первых как мне кажется это не правильно, во вторых рушится вся система правил написанная до сих пор, в третих счетчики после диверта однозначно будут считать не правильно.
Сообственно вопрос.
Что я упустил? Где наступил на грабли?

Содержание

правила IPFW до и после ,Merlin_ua, 13:41 , 31-Май-07
правила IPFW до и после ,Иван, 20:56 , 01-Июн-07

Сообщения в этом обсуждении

"правила IPFW до и после "
Отправлено Merlin_ua , 31-Май-07 13:41

>был IPFW первой версии
>была такая конструкция правил:
>05000 allow ip from хх.хх.хх.хх to уу.уу.уу.уу
>05800 divert 8668 ip from any to any via rl0
>все работало прекрасно
>По необходимости перешли на IPFW2
>и данная конструкция перестала работать.
>Счетчик пакетов исправно увиличивается. Такое впечетление что пакет попавший под данное правило
>дальше не передается по очереди, а отбрасывается.
>Если меняешь правила местами все работает по прежнему, но во первых как
>мне кажется это не правильно, во вторых рушится вся система правил
>написанная до сих пор, в третих счетчики после диверта однозначно будут
>считать не правильно.
>Сообственно вопрос.
>Что я упустил? Где наступил на грабли?

Насколько я понимаю при переходе с IPFW IPFW2 все должно работать нормально. Возможно чтото не правильно в сборке самого фаервола. А ось то какая??? как собирал фаервол???

"правила IPFW до и после "
Отправлено Иван , 01-Июн-07 20:56

>был IPFW первой версии
>была такая конструкция правил:
>05000 allow ip from хх.хх.хх.хх to уу.уу.уу.уу
>05800 divert 8668 ip from any to any via rl0
>все работало прекрасно
>По необходимости перешли на IPFW2
>и данная конструкция перестала работать.
>Счетчик пакетов исправно увиличивается. Такое впечетление что пакет попавший под данное правило
>дальше не передается по очереди, а отбрасывается.
>Если меняешь правила местами все работает по прежнему, но во первых как
>мне кажется это не правильно, во вторых рушится вся система правил
>написанная до сих пор, в третих счетчики после диверта однозначно будут
>считать не правильно.
>Сообственно вопрос.
>Что я упустил? Где наступил на грабли?
sysctl net.inet.ip.fw.one_pass