URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87652
[ Назад ]

Исходное сообщение
"Gateway_enable=yes и IPFW не пускает траффик"
Отправлено sweer , 18-Дек-09 12:46

Приветствую. FreeBSD 6.4, на ней работает quagga и bgpd аннонсирует свою подсеть через интерфейс em0. em1 смотрит в локалку, до включения ipfw все отлично работает. После включения аннонс пропадает, вся AS ложится. Что не так в правилах  ipfw?
#!/bin/sh
ipfw='/sbin/ipfw -q'
${ipfw} flush
${ipfw} resetlog
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 305 allow ip from any to any via em1
${ipfw} add 310 allow tcp from me to any keep-state via em0
${ipfw} add 320 allow icmp from any to any via em0
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to any 22,53,2605,179
${ipfw} add 410 allow ip from any to any 179
${ipfw} add 420 allow udp from any 53,123 to any
${ipfw} add 430 allow udp from any to any 53
${ipfw} add 65534 deny ip from any to any
---------

Содержание

Gateway_enable=yes и IPFW не пускает траффик,Pahanivo, 14:00 , 18-Дек-09
- Gateway_enable=yes и IPFW не пускает траффик,sweer, 14:43 , 18-Дек-09
  - Gateway_enable=yes и IPFW не пускает траффик,Pahanivo, 16:08 , 18-Дек-09

Сообщения в этом обсуждении

"Gateway_enable=yes и IPFW не пускает траффик"
Отправлено Pahanivo , 18-Дек-09 14:00

>[оверквотинг удален]
>${ipfw} add 310 allow tcp from me to any keep-state via em0
>
>${ipfw} add 320 allow icmp from any to any via em0
>${ipfw} add 350 allow ip from me to any
>${ipfw} add 400 allow tcp from any to any 22,53,2605,179
>${ipfw} add 410 allow ip from any to any 179
>${ipfw} add 420 allow udp from any 53,123 to any
>${ipfw} add 430 allow udp from any to any 53
>${ipfw} add 65534 deny ip from any to any
>---------
1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации не сильно катят :)особенно с динамическими правилами
2) включаем лог для последнего deny правила и смотрим что оседает

"Gateway_enable=yes и IPFW не пускает траффик"
Отправлено sweer , 18-Дек-09 14:43

>[оверквотинг удален]
>>${ipfw} add 400 allow tcp from any to any 22,53,2605,179
>>${ipfw} add 410 allow ip from any to any 179
>>${ipfw} add 420 allow udp from any 53,123 to any
>>${ipfw} add 430 allow udp from any to any 53
>>${ipfw} add 65534 deny ip from any to any
>>---------
>
>1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации
>не сильно катят :)особенно с динамическими правилами
>2) включаем лог для последнего deny правила и смотрим что оседает
Как бы можете быть смелее и сказать не man ipfw а "Пошел ты нахуй".
65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана не была.
any ===> me.

"Gateway_enable=yes и IPFW не пускает траффик"
Отправлено Pahanivo , 18-Дек-09 16:08

>Как бы можете быть смелее и сказать не man ipfw а "Пошел
>ты нахуй".
какбэ я хотел сказать совсем другое, а имеено что вы, товаришь, не читали мана, так как сразу бросются в глаза откровенные ляпы в правилах, и даже намекнул в каких именно (но вот чтобы понять в каких и почему надо почитать ман :)
>65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана
>не была.
>any ===> me.
я чесна хз че вам надо - но как посмотерть че блочится я также сказал ))
ЗЫ за смелость не волнуйтися - тут если че сразу пошлють )) и гораздо дальше ))