 Transparent bridge, не работает правило in в ipwf,  rinat, 15-Фев-10, 23:02 [смотреть все]Здравствуйте.
Система FreeBSD 7.0-release
Два интерфейса, работает как бридж, пакеты фильтруются как ipfw.
msk0 - внешний , em0 - внутренний интерфейс.
Работает отлично, простоял уже год. И тут недавно обнаружил интересную проблему:хочу заблокировать доступ из интернета для адреса ххх.ххх.ххх.ххх к внутренней сети правила фильтрации ipfw:
$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in via msk0
или
$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in recv msk0 НЕ РАБОТАЮТ. а правила :
$cmd 00002 deny log ip from any 80 to ххх.ххх.ххх.ххх out via msk0 или $cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 bridged РАБОТАЮТ. В чем дело? Перерыл по-моему весь интернет, результат 0. |
- Transparent bridge, не работает правило in в ipwf, DeadLoco, 02:01 , 16-Фев-10 (1)
- Transparent bridge, не работает правило in в ipwf, rinat, 09:33 , 16-Фев-10 (2)
>[оверквотинг удален]
>
>А зачем им работать? Если msk0 - исходящий интерфейс для пакета, то
>он ловится на OUT, а не на IN. И с этого
>интерфейса он будет не RECV, а XMIT
>
>Работать будет любое из нижеозначеного:
>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out via
>msk0
>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out xmit
>msk0 Спасибо за ответ.
Тут немного не так, адрес xxx.xxx.xxx.xxx это адрес из внешней сети, я пакеты от этого адреса хочу заблокировать к нашему внутреннему серваку по порту 80. Эти пакеты попадают под правило dridged но не попадают по правило in проходя через интерфейс msk0 внутрь сети.
Почему не срабатывает in не понимаю.......
|
Версия для распечатки
