The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPFW - пропускает пакеты"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 05-Фев-08, 07:36 
Всем доброго!!!
Проблема в следующем! Установил себе FreeBSD 6.3 Переконфигурировал ядро под BRIDGE c опциями BRIDGE и IPFIREWALL в sysctl.conf прописал:

net.inetip.fw.one_pass=0
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=xl0,xl1
net.link.ether.bridge.ipfw=1
После перезапуска закрываю все доступы по ipfw
/sbin/ipfw add deny all from any to any

Но он все равно пропускает всех юзеров в инет в чем может быть проблема?
Помогите пожалуйста

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPFW - пропускает пакеты"  
Сообщение от PavelR (??) on 05-Фев-08, 07:58 
>[оверквотинг удален]
>net.inetip.fw.one_pass=0
>net.link.ether.bridge.enable=1
>net.link.ether.bridge.config=xl0,xl1
>net.link.ether.bridge.ipfw=1
>После перезапуска закрываю все доступы по ipfw
>/sbin/ipfw add deny all from any to any
>
>Но он все равно пропускает всех юзеров в инет в чем может
>быть проблема?
>Помогите пожалуйста

Поражает повышенная в последнее время активность пользователей к настройке мостов. При этом не понятно, зачем это им.

Может быть надо net.link.ether.ipfw = 1   ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 05-Фев-08, 08:17 
На всякий случай попробовал хотя это ничем не помогло, весь трафик все равно работает в обход ipfw. В HandBook'e написано именно так (net.link.ether.bridge.ipfw=1).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPFW - пропускает пакеты"  
Сообщение от rakis (ok) on 05-Фев-08, 09:31 
>Всем доброго!!!
>Проблема в следующем! Установил себе FreeBSD 6.3 Переконфигурировал ядро под BRIDGE c
>опциями BRIDGE и IPFIREWALL в sysctl.conf прописал:

для начала поясните что хотели сделать? Шлюз в интернет? так для этого ядро пересобирать не надо и BRIDGE туда вставлять тоже абсолютно лишнее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 05-Фев-08, 12:02 
Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через SQUID плюс работали бы почтовые порты порты до банка для индивидуальных пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPFW - пропускает пакеты"  
Сообщение от PavelR (??) on 05-Фев-08, 13:17 
>Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через
>SQUID плюс работали бы почтовые порты порты до банка для индивидуальных
>пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!

Выкинь бридж, готовь деньги, закупай пива (для себя) и зови понимающих специалистов для настройки сети (деньги надо готовить для них).

Создание моста АБСОЛЮТНО не согласуется с поставленными задачами.


Хотя стройте, может чего и получится... Хотя врядли. Гы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 05-Фев-08, 13:25 
Так ведь до этого он стоял на 6.0 и прекрасно работал, а вы говорите не согласуется. Только  я не понял где я ошибся.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPFW - пропускает пакеты"  
Сообщение от rakis (ok) on 05-Фев-08, 17:04 
>Так ведь до этого он стоял на 6.0 и прекрасно работал

из этого отнюдь не следует что он необходим. Нет, если сделать из внешнего и внутреннего интерфесов бридж, оно тож работать будет. Но решение это мягко говоря через одно место. Сколько себя помню всегда форвардинг между интерфесами включали для этой цели.

Статей по настройке FreeBSD в качестве шлюза не один десяток. На том же opennet'е есть несколько.

P.S. Более того, пересборка ядра с целью запихать туда фаервол совсем не обязательна. Оно и модулем работает вполне себе ничего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 06-Фев-08, 07:28 
Вопрос решился пересборкой ядра поставил if_bridge!
Просьба к форумчанам давайте решать конкретные вопросы, а не опускаться до ответов типа: "А зачем тебе это надо".


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IPFW - пропускает пакеты"  
Сообщение от PavelR (??) on 06-Фев-08, 08:12 
>Вопрос решился пересборкой ядра поставил if_bridge!
>Просьба к форумчанам давайте решать конкретные вопросы, а не опускаться до ответов
>типа: "А зачем тебе это надо".

чтобы решать конкретные вопросы - нужно чтобы вопросы были конкретными.

Иначе нет понимания, что вы сами понимаете, что делаете. Посмотрите на вопросы, которые задают в форуме. Люди абсолютно _не думают_, что они делают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IPFW - пропускает пакеты"  
Сообщение от rakis (ok) on 06-Фев-08, 11:15 
>Просьба к форумчанам давайте решать конкретные вопросы,

Использовать бридж между внутренним и внешним интерфейсом - это НЕ правильное решение. Бридж работает на 2-м уровне модели OSI.  Фаервол же, проблему с которым вы решали, работает на 3-м уровне. И  вашем случае это равнозначно установке свитча, в который воткнут и инет и шлюз. В данной конфигурации вы не получите полного контроля над трафиком.

>а не опускаться до ответов типа: "А зачем тебе это надо".

Часто человек сам не понимает чего он хочет. Просто в силу отсутствия опыта. И помогать человеку ловить рыбу там где ее нет, не хочется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "IPFW - пропускает пакеты"  
Сообщение от Cover_Story (ok) on 06-Фев-08, 15:13 
>Использовать бридж между внутренним и внешним интерфейсом - это НЕ правильное решение.
>Бридж работает на 2-м уровне модели OSI.  Фаервол же, проблему
>с которым вы решали, работает на 3-м уровне. И  вашем
>случае это равнозначно установке свитча, в который воткнут и инет и
>шлюз. В данной конфигурации вы не получите полного контроля над трафиком.

В любом случае спасибо за помощь!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "IPFW - пропускает пакеты"  
Сообщение от Ger email(ok) on 07-Фев-08, 09:22 
>Задача следующая нужно поставить машину, которая контролировала бы доступ в интернет через
>SQUID плюс работали бы почтовые порты порты до банка для индивидуальных
>пользователей, также хотелось считать нагрузку сети. Ну вот основные цели!

Зачем здесь бридж не понимаю. По-моему достаточно установить squid и поднять редиректы по определенным портам. Доступ к редиректам разрешить через ipfw только для конкретных людей... Ну и плюc если нужен кому-нибудь аналог ната с авторизацией - socks5

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру