forum.opennet.ru - "Непонятки с wipfw (Win32 ipfw)" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Непонятки с wipfw (Win32 ipfw)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Непонятки с wipfw (Win32 ipfw)"
Сообщение от dj_maxx (ok) on 06-Сен-05, 10:22 (MSK)
В общем задача следующая: необходимо разрешить доступ только к указанным подсетям, и открыть для входящих соединений с них указанные порты. Исходящие соединения без ограничений. Я написал следующие правила: -f flush add allow all from any to any via lo0 add allow icmp from any to any add allow all from any to any via eth1 established add allow all from any to 62.64.64.0/21 out via eth1 setup add skipto 20000 all from 62.64.64.0/21 to any in via eth1 setup ... далее аналогично задаются другие разрешенные подсети ... add 19000 deny log all from any to any via eth1 add 20000 allow tcp from any to any 11463,6881,8181,12327,13889,20,21,53,80 in via eth1 add 20001 allow udp from any to any 11463,6881,8181,12327,13889,20,21,53,80 in via eth1 add 65535 deny log all from any to any via eth1 но почему-то все пакеты (в том числе и при установке НОВЫХ соединений) проходят через правило "add allow all from any to any via eth1 established" PS: когда это правило убираю, то всё работает, но запрещает established, следовательно работать невозможно, т.к. оно-то конектится но последующие пакеты не пускает
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Непонятки с wipfw (Win32 ipfw), mAdDuke, 12:04 , 06-Сен-05, (1)
- Непонятки с wipfw (Win32 ipfw), dj_maxx, 16:35 , 06-Сен-05, (2)
  - Непонятки с wipfw (Win32 ipfw), mAdDuke, 04:44 , 07-Сен-05, (5)
- Непонятки с wipfw (Win32 ipfw), dj_maxx, 17:10 , 06-Сен-05, (3)
  - Непонятки с wipfw (Win32 ipfw), mAdDuke, 04:43 , 07-Сен-05, (4)
Непонятки с wipfw (Win32 ipfw), v0, 10:52 , 08-Сен-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от mAdDuke (ok) on 06-Сен-05, 12:04  (MSK)

видимо это из-за первой буквы W в названии. :)
М.б. нужно add allow all from any to any out via eth1 established?
Из-за правила № 19000 не работают правила 20000 и 20001.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от dj_maxx (ok) on 06-Сен-05, 16:35  (MSK)

>видимо это из-за первой буквы W в названии. :)
>
>М.б. нужно add allow all from any to any out via eth1
>established?
>
попробую...
>Из-за правила № 19000 не работают правила 20000 и 20001.
Это почему же? На правило 20000 идет переход по skipto.
20001 выполнится если не выполнится 20000.
А там где skipto нет (для исходящих), там allow идет на нужные подсети. А если у нас "левый" адрес, то его зарубит 19000. Я правильно понимаю?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от mAdDuke (ok) on 07-Сен-05, 04:44  (MSK)

>Это почему же? На правило 20000 идет переход по skipto.
Сорри, просто в приведенном куске нет skip.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от dj_maxx (ok) on 06-Сен-05, 17:10  (MSK)

Да, еще вопрос по поводу смысла слова me:
add allow all from 62.64.64.0/21 to any in via eth1
и
add allow all from 62.64.64.0/21 to me via eth1
это одно и то же?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от mAdDuke (ok) on 07-Сен-05, 04:43  (MSK)

>Да, еще вопрос по поводу смысла слова me:
>
>add allow all from 62.64.64.0/21 to any in via eth1
разрешает пакеты от 62.64.64.0/21 куда угодно на ВХОДЕ в интерфейс eth1. Т.е. это правило проверяет пакеты на входе в интерфейс eth1
>add allow all from 62.64.64.0/21 to me via eth1
разрешает пакеты от 62.64.64.0/21 к себе (т.е. шлюзу, независимо от куда) через интерфейс eth1. Будет разрешать только те пакеты от сети 62.64.64.0/21, которые адресованы шлюзу, пришедшие с eth1.
Под me подразумевается сам шлюз. Дальше себя он эти пакеты не пустит.
А вообще ты меня не сильно слушай :) - я с Unix только 2 года, ещё электрочайник... %)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Непонятки с wipfw (Win32 ipfw)"

Сообщение от v0 on 08-Сен-05, 10:52  (MSK)

опции established и setup ТОЛЬКО для tcp-соединений
пиши не для all протоколов а для tcp

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятки с wipfw (Win32 ipfw)"
Сообщение от mAdDuke (ok) on 06-Сен-05, 12:04 (MSK)
видимо это из-за первой буквы W в названии. :) М.б. нужно add allow all from any to any out via eth1 established? Из-за правила № 19000 не работают правила 20000 и 20001.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Непонятки с wipfw (Win32 ipfw)"
	Сообщение от dj_maxx (ok) on 06-Сен-05, 16:35 (MSK)
	>видимо это из-за первой буквы W в названии. :) > >М.б. нужно add allow all from any to any out via eth1 >established? > попробую... >Из-за правила № 19000 не работают правила 20000 и 20001. Это почему же? На правило 20000 идет переход по skipto. 20001 выполнится если не выполнится 20000. А там где skipto нет (для исходящих), там allow идет на нужные подсети. А если у нас "левый" адрес, то его зарубит 19000. Я правильно понимаю?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Непонятки с wipfw (Win32 ipfw)"
	Сообщение от mAdDuke (ok) on 07-Сен-05, 04:44 (MSK)
	>Это почему же? На правило 20000 идет переход по skipto. Сорри, просто в приведенном куске нет skip.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Непонятки с wipfw (Win32 ipfw)"
	Сообщение от dj_maxx (ok) on 06-Сен-05, 17:10 (MSK)
	Да, еще вопрос по поводу смысла слова me: add allow all from 62.64.64.0/21 to any in via eth1 и add allow all from 62.64.64.0/21 to me via eth1 это одно и то же?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Непонятки с wipfw (Win32 ipfw)"
	Сообщение от mAdDuke (ok) on 07-Сен-05, 04:43 (MSK)
	>Да, еще вопрос по поводу смысла слова me: > >add allow all from 62.64.64.0/21 to any in via eth1 разрешает пакеты от 62.64.64.0/21 куда угодно на ВХОДЕ в интерфейс eth1. Т.е. это правило проверяет пакеты на входе в интерфейс eth1 >add allow all from 62.64.64.0/21 to me via eth1 разрешает пакеты от 62.64.64.0/21 к себе (т.е. шлюзу, независимо от куда) через интерфейс eth1. Будет разрешать только те пакеты от сети 62.64.64.0/21, которые адресованы шлюзу, пришедшие с eth1. Под me подразумевается сам шлюз. Дальше себя он эти пакеты не пустит. А вообще ты меня не сильно слушай :) - я с Unix только 2 года, ещё электрочайник... %)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Непонятки с wipfw (Win32 ipfw)"
Сообщение от v0 on 08-Сен-05, 10:52 (MSK)
опции established и setup ТОЛЬКО для tcp-соединений пиши не для all протоколов а для tcp
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]