forum.opennet.ru - "снимите с ручника" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"снимите с ручника"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"снимите с ручника"
Сообщение от uzer (ok) on 19-Сен-04, 13:43 (MSK)
имеем: Фря 4.10, три сетевухи: rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1) правила ipfw: ipfw allow tcp from any to 192.168.2.2 via rl0 ipfw allow tcp from 192.168.2.2 to any via rl0 ipfw deny ip from any to 192.168.0.21 via rl0 ipfw deny ip from 192.168.0.21 to any via rl0 ipfw allow ip from any to any проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

снимите с ручника, autumn, 13:48 , 19-Сен-04, (1)
- снимите с ручника, uzer, 14:26 , 19-Сен-04, (2)
  - снимите с ручника, autumn, 14:45 , 19-Сен-04, (3)
    - снимите с ручника, uzer, 14:58 , 19-Сен-04, (4)
снимите с ручника, Дмитрий Ю. Карпов, 10:31 , 20-Сен-04, (5)
снимите с ручника, kolayshkin, 10:48 , 20-Сен-04, (6)
снимите с ручника, kogotok, 18:18 , 20-Сен-04, (7)
- снимите с ручника, uzer, 21:16 , 20-Сен-04, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "снимите с ручника"

Сообщение от autumn (ok) on 19-Сен-04, 13:48  (MSK)

>ipfw deny ip from any to 192.168.0.21 via rl0
Хм, а почему deny стоит в правилах, ежли не секрет?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "снимите с ручника"

Сообщение от uzer (ok) on 19-Сен-04, 14:26  (MSK)

>>ipfw deny ip from any to 192.168.0.21 via rl0
>Хм, а почему deny стоит в правилах, ежли не секрет?

потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать им reject, мне кажется, будет жирно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "снимите с ручника"

Сообщение от autumn (ok) on 19-Сен-04, 14:45  (MSK)

>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать
>им reject, мне кажется, будет жирно.
Ну дык ему(юзверю) надо разрешить хождение через 80 порт, а так, насколько я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "снимите с ручника"

Сообщение от uzer (ok) on 19-Сен-04, 14:58  (MSK)

>>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать
>>им reject, мне кажется, будет жирно.
>Ну дык ему(юзверю) надо разрешить хождение через 80 порт,
ему нужен https, а это 443 порт. К тому же я открыл все порты по протокулу tcp.
а так, насколько >я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь.
>

я сначала открываю к опеределнному айпи, а потом режу все.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "снимите с ручника"

Сообщение от Дмитрий Ю. Карпов on 20-Сен-04, 10:31  (MSK)

Попробуй добавить правила
ipfw count ip from any to 192.168.0.21
ipfw count ip from 192.168.0.21 to any
в промежутки между твоими правилами. Затем попробуй обратиться с 192.168.0.21 на 192.168.2.2 по https и посмотри, как будут крутиться счётчики - так ты выяснишь, какое правило режет пакеты.
Правило
ipfw deny ip from any to 192.168.0.21 via rl0
вообще лишнее для защиты от вирусов, идущих с 192.168.0.21.
Кроме того, можно попробовать включить логи на deny-правила (только писАть их в отдельный файл и следить, чтоб диск не переполнился).
PS: Дай команду 'ipfw show' и убедись, что правила те самые, какие нужно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "снимите с ручника"

Сообщение от kolayshkin (??) on 20-Сен-04, 10:48  (MSK)

>имеем:
>Фря 4.10,
>три сетевухи:
>rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1)
>
>правила ipfw:
>ipfw allow tcp from any to 192.168.2.2 via rl0
>ipfw allow tcp from 192.168.2.2 to any via rl0
>ipfw deny ip from any to 192.168.0.21 via rl0
>ipfw deny ip from 192.168.0.21 to any via rl0
>ipfw allow ip from any to any
>
>проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https
Попробуй убрать via rl0 (либо поставь via rl2). А лучше конечно включи лог на этот адрес и смотри что за пакеты идут.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "снимите с ручника"

Сообщение от kogotok on 20-Сен-04, 18:18  (MSK)

>имеем:
>Фря 4.10,
>три сетевухи:
>rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1)
>
>правила ipfw:
>ipfw allow tcp from any to 192.168.2.2 via rl0
>ipfw allow tcp from 192.168.2.2 to any via rl0
>ipfw deny ip from any to 192.168.0.21 via rl0
>ipfw deny ip from 192.168.0.21 to any via rl0
>ipfw allow ip from any to any
>
>проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https
net.inet.ip.forwarding=1

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "снимите с ручника"

Сообщение от uzer (ok) on 20-Сен-04, 21:16  (MSK)

включил лог
не хватало правил
ipfw add allow udp from 192.168.0.21 to any 53
ipfw add allow udp from any 53 to 192.168.0.21

всем спасибо, вопрос исчерпан

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "снимите с ручника"
Сообщение от autumn (ok) on 19-Сен-04, 13:48 (MSK)
>ipfw deny ip from any to 192.168.0.21 via rl0 Хм, а почему deny стоит в правилах, ежли не секрет?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "снимите с ручника"
	Сообщение от uzer (ok) on 19-Сен-04, 14:26 (MSK)
	>>ipfw deny ip from any to 192.168.0.21 via rl0 >Хм, а почему deny стоит в правилах, ежли не секрет? потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать им reject, мне кажется, будет жирно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "снимите с ручника"
	Сообщение от autumn (ok) on 19-Сен-04, 14:45 (MSK)
	>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать >им reject, мне кажется, будет жирно. Ну дык ему(юзверю) надо разрешить хождение через 80 порт, а так, насколько я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "снимите с ручника"
	Сообщение от uzer (ok) on 19-Сен-04, 14:58 (MSK)
	>>потому что у этого юзверя (192.168.0.21) часто вирусы типа msblast'a водятся. Отвечать >>им reject, мне кажется, будет жирно. >Ну дык ему(юзверю) надо разрешить хождение через 80 порт, ему нужен https, а это 443 порт. К тому же я открыл все порты по протокулу tcp. а так, насколько >я понимаю(в ipfw не очень силен), ты ему весь трафик рубишь. > я сначала открываю к опеределнному айпи, а потом режу все.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "снимите с ручника"
Сообщение от Дмитрий Ю. Карпов on 20-Сен-04, 10:31 (MSK)
Попробуй добавить правила ipfw count ip from any to 192.168.0.21 ipfw count ip from 192.168.0.21 to any в промежутки между твоими правилами. Затем попробуй обратиться с 192.168.0.21 на 192.168.2.2 по https и посмотри, как будут крутиться счётчики - так ты выяснишь, какое правило режет пакеты. Правило ipfw deny ip from any to 192.168.0.21 via rl0 вообще лишнее для защиты от вирусов, идущих с 192.168.0.21. Кроме того, можно попробовать включить логи на deny-правила (только писАть их в отдельный файл и следить, чтоб диск не переполнился). PS: Дай команду 'ipfw show' и убедись, что правила те самые, какие нужно.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "снимите с ручника"
Сообщение от kolayshkin (??) on 20-Сен-04, 10:48 (MSK)
>имеем: >Фря 4.10, >три сетевухи: >rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1) > >правила ipfw: >ipfw allow tcp from any to 192.168.2.2 via rl0 >ipfw allow tcp from 192.168.2.2 to any via rl0 >ipfw deny ip from any to 192.168.0.21 via rl0 >ipfw deny ip from 192.168.0.21 to any via rl0 >ipfw allow ip from any to any > >проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https Попробуй убрать via rl0 (либо поставь via rl2). А лучше конечно включи лог на этот адрес и смотри что за пакеты идут.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

7. "снимите с ручника"
Сообщение от kogotok on 20-Сен-04, 18:18 (MSK)
>имеем: >Фря 4.10, >три сетевухи: >rl0(192.168.0.1), rl1(192.168.3.1), rl2(192.168.2.1) > >правила ipfw: >ipfw allow tcp from any to 192.168.2.2 via rl0 >ipfw allow tcp from 192.168.2.2 to any via rl0 >ipfw deny ip from any to 192.168.0.21 via rl0 >ipfw deny ip from 192.168.0.21 to any via rl0 >ipfw allow ip from any to any > >проблема: айпи 192.168.0.21 не может зайти на 192.168.2.2 по https net.inet.ip.forwarding=1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "снимите с ручника"
	Сообщение от uzer (ok) on 20-Сен-04, 21:16 (MSK)
	включил лог не хватало правил ipfw add allow udp from 192.168.0.21 to any 53 ipfw add allow udp from any 53 to 192.168.0.21 всем спасибо, вопрос исчерпан
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх