forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPFW порядок составления, прохождения правил с NAT. Пинги."
Отправлено Evonder, 04-Май-18 18:40

>[оверквотинг удален]
> $fwcmd 5000 nat 1 all from any to any // inet out
> $fwcmd 5010 allow all from any to any // inet out
> $ lan out
> $fwcmd 6000 allow all from any to any // lan out
>
> Это пример без keep-state. Этот keep-state в такой структуре можно применять очень
> ограниченно.
> Если нужно тотально, то структура правил должна быть совсем другой.
> Вопрос на понимание - какое правило 100 или 110 лишнее, но с
> ним нагляднее?
По поводу keep-state, вот взять например правило для DNS
fwcmd 00300 allow  udp  from me  to X.X.X.X 53 out via re1 keep-state  #ДНС ЗАПРОС К СЕРВЕРУ ПРОВАЙДЕРА
  В чем тут опасность создания динамического правила? Отправил запрос к днс, и на основе его автоматом создалось разрешающее правило для входящего ответа, а если не использовал бы, тогда пришлось бы дописывать вторую строчку с разрешением для входящего ответа.
   $fwcmd 00110 allow ip from any to any via re1
   Не могу понять смысла этого правила, ведь оно по сути разрешает все на отправку и вход по внешнему интерфейсу.
----------------
По поводу правил 100 и 110
  Могу ошибаться, но "лишнее" тут 100, поскольку оно разрешает весь входящий поток по всем интерфейсам и всего лишь делает skipto на дальнейшие правила которые разбивают поток по интерфейсам лан и инет.
  Вот если убрать правило 110, то весь исходящий траф будет порезан правилом 1999, который для правила 1000 режет все пакеты которые не имели тега recv для интерфейсов инет и лан.

Исходное сообщение
"IPFW порядок составления, прохождения правил с NAT. Пинги." Отправлено Evonder, 04-Май-18 18:40
>[оверквотинг удален] > $fwcmd 5000 nat 1 all from any to any // inet out > $fwcmd 5010 allow all from any to any // inet out > $ lan out > $fwcmd 6000 allow all from any to any // lan out > > Это пример без keep-state. Этот keep-state в такой структуре можно применять очень > ограниченно. > Если нужно тотально, то структура правил должна быть совсем другой. > Вопрос на понимание - какое правило 100 или 110 лишнее, но с > ним нагляднее? По поводу keep-state, вот взять например правило для DNS fwcmd 00300 allow udp from me to X.X.X.X 53 out via re1 keep-state #ДНС ЗАПРОС К СЕРВЕРУ ПРОВАЙДЕРА В чем тут опасность создания динамического правила? Отправил запрос к днс, и на основе его автоматом создалось разрешающее правило для входящего ответа, а если не использовал бы, тогда пришлось бы дописывать вторую строчку с разрешением для входящего ответа. $fwcmd 00110 allow ip from any to any via re1 Не могу понять смысла этого правила, ведь оно по сути разрешает все на отправку и вход по внешнему интерфейсу. ---------------- По поводу правил 100 и 110 Могу ошибаться, но "лишнее" тут 100, поскольку оно разрешает весь входящий поток по всем интерфейсам и всего лишь делает skipto на дальнейшие правила которые разбивают поток по интерфейсам лан и инет. Вот если убрать правило 110, то весь исходящий траф будет порезан правилом 1999, который для правила 1000 режет все пакеты которые не имели тега recv для интерфейсов инет и лан.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>> $fwcmd 5000 nat 1 all from any to any // inet out 
>> $fwcmd 5010 allow all from any to any // inet out 
>> $ lan out 
>> $fwcmd 6000 allow all from any to any // lan out 
>> [/code] 
>> Это пример без keep-state. Этот keep-state в такой структуре можно применять очень 
>> ограниченно.
>> Если нужно тотально, то структура правил должна быть совсем другой.
>> Вопрос на понимание - какое правило 100 или 110 лишнее, но с 
>> ним нагляднее?

> По поводу keep-state, вот взять например правило для DNS 
>  fwcmd 00300 allow  udp  from me  to X.X.X.X 
> 53 out via re1 keep-state  #ДНС ЗАПРОС К СЕРВЕРУ ПРОВАЙДЕРА 
 
>   В чем тут опасность создания динамического правила? Отправил запрос к 
> днс, и на основе его автоматом создалось разрешающее правило для входящего 
> ответа, а если не использовал бы, тогда пришлось бы дописывать вторую 
> строчку с разрешением для входящего ответа.
>    $fwcmd 00110 allow ip from any to any via 
> re1 
>    Не могу понять смысла этого правила, ведь оно по 
> сути разрешает все на отправку и вход по внешнему интерфейсу.

> ---------------- 
> По поводу правил 100 и 110

>   Могу ошибаться, но "лишнее" тут 100, поскольку оно разрешает весь 
> входящий поток по всем интерфейсам и всего лишь делает skipto на 
> дальнейшие правила которые разбивают поток по интерфейсам лан и инет.
>   Вот если убрать правило 110, то весь исходящий траф будет 
> порезан правилом 1999, который для правила 1000 режет все пакеты которые 
> не имели тега recv для интерфейсов инет и лан.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру