The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"keep state in IPFW"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"keep state in IPFW"  +/
Сообщение от ipfw (??) on 20-Май-12, 21:52 
Здравствуйте.
Кусок конфига ipfw.conf. Вопрос касательно правила 240: входящий icmp (ping) на внешней сетевухе.

#$cmd 199 check-state

$cmd 200 allow ip from $lan to $int_if in via em1 $ks
$cmd 210 allow ip from $int_if to $lan out via em1 $ks

#$cmd 220 allow tcp from me to any out via em0
#$cmd 221 allow udp from me to any out via em0 $ks
#$cmd 223 allow icmp from me to any out via em0 $ks

$cmd 230 allow tcp from any to me 22 via em0 setup $ks
$cmd 240 allow icmp from any to me icmptypes 3,4,8,11 in via em0 $ks
#$cmd 250 deny icmp from me to any out via em0


ipfw nat 1 config if em0 log deny_in same_ports
$cmd 320 nat 1 ip from $lan to not me out xmit em0
$cmd 330 nat 1 ip from any to $ext_if in recv em0

$cmd 340 allow ip from any to any

$cmd 65534 deny all from any to any

Если запретить все исходящее с внешней сетевухи от самого сервера, а в правиле 240 убрать keep state, то по-идее эхо-ответа не должно быть, но он есть, сервер "из мира" пингуется, т.к. страбатывает правило 340. Проблему решает правило 250. С протоколом ТСР такого нет. Без явно разрешенного исходящего правила или keep state, соединения по ssh, например,  нет, т.к. нет ответов от сервера.
Проясните ситуацию, пожалуйста.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "keep state in IPFW"  +/
Сообщение от Конь фпальто on 20-Май-12, 22:30 
очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "keep state in IPFW"  +/
Сообщение от ipfw (??) on 20-Май-12, 22:49 
> очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка
> ...

Ну так тыкни где я не прав.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "keep state in IPFW"  +/
Сообщение от Pahanivo (ok) on 21-Май-12, 07:52 
>> очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка
>> ...
>  Ну так тыкни где я не прав.

ты не прав уже с оформления вопроса ))
зачем вываливать кучу строк, половина которых коменты, вторая содержит непонятного содержания переменные?
научись формулировать вопросы и ты найдешь ответы в мане - ipfw обсосан со всех сторон

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру