forum.opennet.ru

"IPFW NAT - порядок прохождения правил"

Форум Открытые системы на сервере
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "IPFW NAT - порядок прохождения правил"	+/–
Сообщение от Pahanivo (ok), 18-Апр-17, 00:07
> Ок. Отключил правило 500. Все равно болт.. А теперь включи log, man tcpdump, напряги внимание. > Есть вот такой набор правил. это не набор правил, а скрипт для их создания (конфигурации) смотри рабочие правила, а не скрипт а конфиг интерфейсов где? > --------------------------------------------------------------------------------- > #!/bin/sh > ipfw -q -f flush > cmd="ipfw -q add" > $cmd 010 allow all from any to any via lo0 > $cmd 020 allow all from any to any via fxp0 fxp0 это типа внешний интерфейс?? > ---------------------------------------------------------- > sysctl net.inet.ip.fw.one_pass=0 нахуа?? > Подскажите, где ошибка? ошибка в том что пакет пройдет фаер дважды (по кол-ву интерйефсов)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPFW NAT - порядок прохождения правил, neekonoff, 17-Апр-17, 15:50 [смотреть все]

начнём с трbвиального gateway_enable YES в etc rc conf включил на хосте 10 1 , Аноним, 17-Апр-17, 18:39 (1) //
- cmd 500 deny tcp from any to any established in via em0 - ХЕРНЯ, Аноним, 17-Апр-17, 18:41 (2) //
  - Почему херня Оно запрещает ACK пакеты, которые не соответствуют динамической та, neekonoff, 17-Апр-17, 19:02 (4)
  - Ок Отключил правило 500 Все равно болт , neekonoff, 17-Апр-17, 19:22 (5) //
    - А теперь включи log, man tcpdump, напряги внимание это не набор правил, а скрипт , Pahanivo, 18-Апр-17, 00:07 (6)
      - gt оверквотинг удален fxp0 - внутренний интерфейс 10 1 10 1em0 - внешний 1 2 3, neekonoff, 18-Апр-17, 01:47 (7)
        
        , neekonoff, 18-Апр-17, 01:54 (8)
        cmd 600 tcp from any to 10 1 10 12 25,443 in via em0 setup keep-stateубери нахе, Pahanivo, 19-Апр-17, 10:24 (11)
- Да, конечно И firewall_nat_enable Все это есть , neekonoff, 17-Апр-17, 19:00 (3)
Вспомнить бы про deny_in Вроде, в нат попадёт входящий - ответ на исходящий, но, Дум Дум, 18-Апр-17, 14:48 (9) //
- Случайный трафик извне - нет Но трафик на порт 80 - обработается, так как есть , neekonoff, 18-Апр-17, 16:12 (10) //
  - Тогда на проходе OUT доходит до правила 200 и отправляется на внешний адрес с ад, Дум Дум, 19-Апр-17, 10:35 (12) //
    - Да, я этого не учел совсем Спасибо , neekonoff, 19-Апр-17, 23:11 (15)
с динамическими правилами вы не разобралисьдля проверки работоспособности выполн, михалыч, 19-Апр-17, 11:54 (13) //
- пусть для начала научится ошибки в консоли читать см выше афтар походу осоз, Pahanivo, 19-Апр-17, 16:29 (14)
- gt оверквотинг удален Подозреваю, что покажется бредом, но мне нравится логика, neekonoff, 19-Апр-17, 23:16 (16) //
  - gt оверквотинг удален ну почему же покажется бредом вовсе нет 128515 и мне , Аноним, 20-Апр-17, 20:02 (17) //
    - gt оверквотинг удален Сарказм detected , neekonoff, 20-Апр-17, 21:22 (19)
Проблему я решил таким образом другие адреса и интерфейсы, мушто на типа тесто, neekonoff, 20-Апр-17, 21:22 (18) //
- это вряд лия не знаю, заработает ли у вас ваша схема после переноса со стенда,ли, михалыч, 21-Апр-17, 11:10 (20) //
  - Я держал в уме то, что мне нужно будет транслировать трафик на порты 80 443 и 25, neekonoff, 24-Апр-17, 19:04 (25)
рабочий пример правил с сохранением состояний и поддержкой NATэтот вариант в нек, михалыч, 21-Апр-17, 20:08 (21) //
- Я не поленислся и проверил то, что вы написали Скажите, для чего вам правила 700, neekonoff, 23-Апр-17, 16:52 (22) //
  - ах вот даже как гыг-гыг 128515 128515 так это же тебе надо было 9757 это , Аноним, 23-Апр-17, 19:43 (23) //
    - Ok, скажите, что у вас с переменной sysctl net inet ip fw one_pass конкретно с , neekonoff, 24-Апр-17, 18:01 (24)
      - хм по идее эта переменная ни на что не влияет, кроме как на пайпы dummynet и у, михалыч, 24-Апр-17, 19:55 (26)
        
        Эта переменная влияет на правила nat так же как и на правила dummynet И эти прав, neekonoff, 25-Апр-17, 00:17 (28)
        
        да, проверено, с natd действительно работаеткаюсь, с nat проверить сейчас возмож, михалыч, 25-Апр-17, 18:02 (30)
      - если используешь стенд с серыми адресамиубери все правила до 100 если скопирова, Аноним, 24-Апр-17, 20:33 (27)
        
        Параметр unreg_only предписывает проводить маскировку только для тех исходящих п, neekonoff, 25-Апр-17, 00:22 (29)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру