The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"извне через ipfw внутрь.."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"извне через ipfw внутрь.."  
Сообщение от cad2206 email on 14-Апр-06, 12:40 
Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое предположение: при помощи fwd, но как именно?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 14-Апр-06, 12:42 
>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине
>внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое
>предположение: при помощи fwd, но как именно?

Это делается с помощью опции redirect_port демона natd
подробнее - читайте ниже
http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/network-natd.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 14-Апр-06, 12:55 
edwin: я правильно понял:

в rc.ipfw я просто окрываю порт
а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт

?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 14-Апр-06, 13:01 
>edwin: я правильно понял:
>
>в rc.ipfw я просто окрываю порт

Разумеется в firewall'e надо разрешить прохождение пакетов.


>а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт

Стоп.
Зачем захламлять rc.conf
есть же /etc/natd.conf


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 14-Апр-06, 13:06 
ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 14-Апр-06, 13:11 
>ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать?

Угу.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 14-Апр-06, 13:32 
спасибо тебе edwin, не первый раз меня выручаешь...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 09:37 
edwin: выручай....
неполучается пробросить...

в rc.conf касательно NAT:

natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

в rc.ipfw:

add allow log tcp from any to xxx.xxx.xxx.xxx out via tun*
add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun*

где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь.
    port - порт, на котором слушет сервис внутри сети.

в natd.conf:

log yes
log_denied yes
use_sockets yes
unregistered_only yes
dynamic tes
redirect_port tcp yyy.yyy.yyy.yyy:port port

где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и слушает порт port.

при попытке, в логе security есть запись:
Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0

НО не коннектится!!! На что еще нужно обратить внимание???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 17-Апр-06, 09:48 
>edwin: выручай....
>неполучается пробросить...
>
>в rc.conf касательно NAT:
>
>natd_enable="YES"
>natd_interface="rl1"
>natd_flags="-f /etc/natd.conf"
>
>в rc.ipfw:
>
>add allow log tcp from any to xxx.xxx.xxx.xxx out via tun*
>add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun*
>
>
>где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь.
>    port - порт, на котором слушет сервис внутри
>сети.
>
>в natd.conf:
>
>log yes
>log_denied yes
>use_sockets yes
>unregistered_only yes
>dynamic tes
>redirect_port tcp yyy.yyy.yyy.yyy:port port
>
>где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и
>слушает порт port.
>
>при попытке, в логе security есть запись:
>Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0
>
>НО не коннектится!!! На что еще нужно обратить внимание???

для начала разреши прохождение всех пакетов через firewall
И глянь все ли работает.
Затем последовательно запрщай ... до потимума.
Также тебе поможет tcpdump
и на всякий случай - мое мыло - edwin_|_alkar.net

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 10:12 
вот что есть из tcpdump -i tun0:

10:03:18.267174 xxx.xxx.xxx.xxx.port1 > мой_внешний_ип.port: S 285965535:285965535(0) win 65535 <mss 1452,nop,nop,sackOK> (DF)
10:03:18.267257 мой_внешний_ип.port > xxx.xxx.xxx.xxx.port1: R 0:0(0) ack 285965536 win 0

но о чем это говорит, я к сожалению незнаю, буду читать....

щас попробую с открытым фаером

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 10:20 
пробовал с открытым фаером (firewall_type="OPEN"), бесполезно...


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 11:05 
еще один ньюанс:
в файле rc.ipfw есть правило:

add divert natd all from any to any via ${natd_interface}

т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в файле natd.conf указан как rl1.

может в качестве интерфейса нужно указывать мой тунель tun0?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 11:07 
>еще один ньюанс:
>в файле rc.ipfw есть правило:
>
>add divert natd all from any to any via ${natd_interface}
>
>т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в
>файле natd.conf указан как rl1.
>
>может в качестве интерфейса нужно указывать мой тунель tun0?

обшибся: не в natd.conf, а в rc.conf....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 13:18 
Ребяты, ну подскажите, куда копать? Как отследить прохождение пакета, где он стопорится?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "извне через ipfw внутрь.."  
Сообщение от alchie (ok) on 17-Апр-06, 13:31 
>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине
>внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое
>предположение: при помощи fwd, но как именно?


https://www.opennet.ru/tips/info/467.shtml
читать вместе с комментами

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 15:05 
alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и все..... тки пальцем, что нетак?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 17-Апр-06, 15:13 
>alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и
>все..... тки пальцем, что нетак?

Я вернулся.
Чудес не бывает ....
А что выдает команда ?
sysctl net.inet.ip.forwarding
Если 0, то надо сделать:
sysctl -w net.inet.ip.forwarding="1"
И добавить в rc.conf gateway_enable="YES"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 15:19 
команда выдает значение 1
gateway_enable="YES" - прописано
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 17-Апр-06, 15:27 
>команда выдает значение 1
>gateway_enable="YES" - прописано

Ладно.
Будем танцевать "от печки".
В студию:
1) текущий rc.conf
2) текущий конфиг firewall
3) текущий конфиг nat

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 17-Апр-06, 15:30 
>>команда выдает значение 1
>>gateway_enable="YES" - прописано
>
>Ладно.
>Будем танцевать "от печки".
>В студию:
>1) текущий rc.conf
>2) текущий конфиг firewall
>3) текущий конфиг nat

Кстати, а может стоит Вам рассмотреть возможность использования pf ?
ИМХО, он проще для понимания.

А вот и линк на статью:
http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=104&theme=PF%20OpenBSD%20firewall#top6

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "извне через ipfw внутрь.."  
Сообщение от cad2206 email on 17-Апр-06, 15:43 
rc.conf:

defaultrouter="мой_внешний_ИП"
gateway_enable="YES"
hostname="SHLUZ.ChanceOFFICE"
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="papchap"

firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
firewall_loggining="YES"
firewall_quiet="YES"

natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

mta_start_script=""
sendmail_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
sendmail_submit_enable="NO"

squid_enable="YES"

sshd_enable="YES"

static_routes="net1"
route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2"

keymap="ru.koi8-r"
keychange="61 [[K"
scrnmap="koi8-r2cp866"

в rc.ipfw

# Stop spoofing
${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via rl1
${fwcmd} add deny all from any to 172.16.0.0/12 via rl1

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via rl1
${fwcmd} add deny all from any to 169.254.0.0/16 via rl1
${fwcmd} add deny all from any to 224.0.0.0/4 via rl1
${fwcmd} add deny all from any to 240.0.0.0/4 via rl1

#squid

${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0

case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via rl1
${fwcmd} add deny all from 172.16.0.0/12 to any via rl1
${fwcmd} add deny all from 192.168.0.0/16 to any via rl1

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from 0.0.0.0/8 to any via rl1
${fwcmd} add deny all from 169.254.0.0/16 to any via rl1
${fwcmd} add deny all from 192.168.0.0/24 to any via rl1

..........

#RAdmin on 192.168.0.2
${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun*
${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via tun*

..........


в natd.conf

log yes
log_denied yes
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes
interface rl1
redirect_port tcp 192.168.0.2:4899 4899


1Help   2Save   3Mark   4Replac 5Copy   6Move   7Search 8Delete 9PullDn 10Quit


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "извне через ipfw внутрь.."  
Сообщение от alchie (ok) on 17-Апр-06, 16:08 
>rc.conf:
>
>defaultrouter="мой_внешний_ИП"
>gateway_enable="YES"
>hostname="SHLUZ.ChanceOFFICE"
>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
>
>ppp_enable="YES"
>ppp_mode="ddial"
>ppp_profile="papchap"
>
>firewall_enable="YES"
>firewall_script="/etc/rc.ipfw"
>firewall_loggining="YES"
>firewall_quiet="YES"
>
>natd_enable="YES"
>natd_interface="rl1"
>natd_flags="-f /etc/natd.conf"
>
>mta_start_script=""
>sendmail_enable="NO"
>sendmail_outbound_enable="NO"
>sendmail_msp_queue_enable="NO"
>sendmail_submit_enable="NO"
>
>squid_enable="YES"
>
>sshd_enable="YES"
>
>static_routes="net1"
>route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2"
>
>keymap="ru.koi8-r"
>keychange="61 [[K"
>scrnmap="koi8-r2cp866"
>
>в rc.ipfw
>
># Stop spoofing
>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
>
># Stop RFC1918 nets on the outside interface
>${fwcmd} add deny all from any to 10.0.0.0/8 via rl1
>${fwcmd} add deny all from any to 172.16.0.0/12 via rl1
>
># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
># on the outside interface
>${fwcmd} add deny all from any to 0.0.0.0/8 via rl1
>${fwcmd} add deny all from any to 169.254.0.0/16 via rl1
>${fwcmd} add deny all from any to 224.0.0.0/4 via rl1
>${fwcmd} add deny all from any to 240.0.0.0/4 via rl1
>
>#squid
>
>${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
>
>${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0
>
>
>case ${natd_enable} in
>[Yy][Ee][Ss])
>if [ -n "${natd_interface}" ]; then
>${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
>
>fi
>;;
>esac
>
># Stop RFC1918 nets on the outside interface
>${fwcmd} add deny all from 10.0.0.0/8 to any via rl1
>${fwcmd} add deny all from 172.16.0.0/12 to any via rl1
>${fwcmd} add deny all from 192.168.0.0/16 to any via rl1
>
># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
># on the outside interface
>${fwcmd} add deny all from 0.0.0.0/8 to any via rl1
>${fwcmd} add deny all from 169.254.0.0/16 to any via rl1
>${fwcmd} add deny all from 192.168.0.0/24 to any via rl1
>
>..........
>
>#RAdmin on 192.168.0.2
>${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun*
>
>${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via
>tun*
>
>..........
>
>
>в natd.conf
>
>log yes
>log_denied yes
>use_sockets yes
>same_ports yes
>unregistered_only yes
>dynamic yes
>interface rl1
>redirect_port tcp 192.168.0.2:4899 4899
>
>


нат и редирект на физическом интерфейсе, а правило для туннеля. работать не будет естесна

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 17-Апр-06, 16:37 
дык если я укажу

${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1
${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via rl1

то в логе при попытке появляются записи Deny ..... via tun0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "извне через ipfw внутрь.."  
Сообщение от alchie (ok) on 17-Апр-06, 17:22 
>дык если я укажу
>
>${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1
>
>${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via
>rl1
>
>то в логе при попытке появляются записи Deny ..... via tun0

и правильно. значит нужно с другой стороны копнуть - натд на tun0 перевесить

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 18-Апр-06, 09:29 
alchie: пробовал я в rc.conf прописывать:

natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"

и в natd.conf:  
log yes
log_denied yes
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes
interface tun0
redirect_port tcp 192.168.0.2:4899 4899

Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний адрес не пингуется, сообщений об ошибках я больше не нашел....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 18-Апр-06, 09:34 
>alchie: пробовал я в rc.conf прописывать:
>
>natd_enable="YES"
>natd_interface="tun0"
>natd_flags="-f /etc/natd.conf"
>
>и в natd.conf:
>log yes
>log_denied yes
>use_sockets yes
>same_ports yes
>unregistered_only yes
>dynamic yes
>interface tun0
>redirect_port tcp 192.168.0.2:4899 4899
>
>Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний
>адрес не пингуется, сообщений об ошибках я больше не нашел....

А он не пингуется из cетки ?
Или и с сервака ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

26. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 18-Апр-06, 09:38 
с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС тоже....
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

27. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 18-Апр-06, 09:48 
>с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС
>тоже....

А нельзя ли посмотреть в этот момент
netstat -rn

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

28. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 18-Апр-06, 10:10 
все, проброс совершен. незнаю почему, может глюк или что, но когда в первый раз попытался НАТ на tun повесить, неработало (см. выше), после заметил ошибку: natdnatd: чето типа последняя строка в файле конфигурации должна быть пустой.... поставил, все заработало... буду следить/тестить. огромное спасибо.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

29. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 18-Апр-06, 10:23 
и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса на другой?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

30. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 18-Апр-06, 10:36 
>и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса
>на другой?

Ну придется подредактировать правила firewall'а

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

31. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 18-Апр-06, 10:40 
>Ну придется подредактировать правила firewall'а

т.е. везде поменять с rl1 на tun?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

32. "извне через ipfw внутрь.."  
Сообщение от edwin (ok) on 18-Апр-06, 15:14 
>>Ну придется подредактировать правила firewall'а
>
>т.е. везде поменять с rl1 на tun?


Да.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

33. "извне через ipfw внутрь.."  
Сообщение от vizard (??) on 19-Апр-06, 17:01 
>defaultrouter="мой_внешний_ИП"
Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как пройти в библиотеку у себя же.

(((1)))
>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"


>в rc.ipfw

># Stop spoofing
>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1

Стоп, уже непонятно - см. (((1)))
Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

34. "извне через ipfw внутрь.."  
Сообщение от alchie (ok) on 19-Апр-06, 17:19 
>>defaultrouter="мой_внешний_ИП"
>Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как
>пройти в библиотеку у себя же.

если речь идет о p-t-p соединениях типа PPTP/PPPoE, то там именно так и делается

>
>(((1)))
>>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
>
>
>>в rc.ipfw
>
>># Stop spoofing
>>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
>
>Стоп, уже непонятно - см. (((1)))
>Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?

rl1 != rl0


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

35. "извне через ipfw внутрь.."  
Сообщение от cad2206 on 20-Апр-06, 12:32 
vizard:

"Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как пройти в библиотеку у себя же. "  - я соединяюсь через PPPoE.

"Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?" - через rl1 интерфейс проходят пакеты уже инкапсулированные и неимеющие отношения к внутренней сети.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру