https://mobile.opennet.me/openforum/vsluhforumID1/88167.html Здравствуйте.<br>Система FreeBSD 7.0-release<br>Два интерфейса, работает как бридж, пакеты фильтруются как ipfw.<br>msk0 - внешний , em0 - внутренний интерфейс.<br>Работает отлично, простоял уже год. И тут недавно обнаружил интересную проблему:<br><br>хочу заблокировать доступ из интернета для адреса ххх.ххх.ххх.ххх к внутренней сети<br><br>правила фильтрации ipfw:<br>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in via msk0<br>или<br>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in recv msk0<br><br>НЕ РАБОТАЮТ.<br><br>а правила :<br>$cmd 00002 deny log ip from any 80 to ххх.ххх.ххх.ххх out via msk0<br><br>или<br><br>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 bridged<br><br>РАБОТАЮТ.<br><br>В чем дело? Перерыл по-моему весь интернет, результат 0.<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/88167.html#4 Tue, 16 Feb 2010 17:31:19 GMT &gt;&gt;Почему не срабатывает in не понимаю....... <br>&gt;<br>&gt;man ipfw <br>&gt;<br>&gt;net.link.bridge.ipfw: 0 <br>&gt; Controls whether bridged packets are passed to ipfw. Default is <br>&gt;no. <br><br>man ipfw - это понятно, настройка соответсвует статье http://www.freebsd.org/doc/en/articles/filtering-bridges/article.html. Бридж ФИЛЬТРУЕТ, но только работают правила out и bridged. <br>В том и проблема , что в правило in пакеты не попадают. <br><br> https://mobile.opennet.me/openforum/vsluhforumID1/88167.html#3 Tue, 16 Feb 2010 10:44:01 GMT &gt;Почему не срабатывает in не понимаю....... <br><br>man ipfw<br><br>net.link.bridge.ipfw: 0<br> Controls whether bridged packets are passed to ipfw. Default is no.<br> https://mobile.opennet.me/openforum/vsluhforumID1/88167.html#2 Tue, 16 Feb 2010 06:33:48 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;А зачем им работать? Если msk0 - исходящий интерфейс для пакета, то <br>&gt;он ловится на OUT, а не на IN. И с этого <br>&gt;интерфейса он будет не RECV, а XMIT <br>&gt;<br>&gt;Работать будет любое из нижеозначеного: <br>&gt;$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out via <br>&gt;msk0 <br>&gt;$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out xmit <br>&gt;msk0 <br><br>Спасибо за ответ. <br>Тут немного не так, адрес xxx.xxx.xxx.xxx это адрес из внешней сети, я пакеты от этого адреса хочу заблокировать к нашему внутреннему серваку по порту 80. Эти пакеты попадают под правило dridged но не попадают по правило in проходя через интерфейс msk0 внутрь сети.<br>Почему не срабатывает in не понимаю.......<br> https://mobile.opennet.me/openforum/vsluhforumID1/88167.html#1 Mon, 15 Feb 2010 23:01:49 GMT &gt;правила фильтрации ipfw: <br>&gt;$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in via msk0 <br>&gt;или <br>&gt;$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 in recv msk0 <br>&gt;НЕ РАБОТАЮТ. <br><br>А зачем им работать? Если msk0 - исходящий интерфейс для пакета, то он ловится на OUT, а не на IN. И с этого интерфейса он будет не RECV, а XMIT<br><br>Работать будет любое из нижеозначеного:<br>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out via msk0<br>$cmd 00002 deny log tcp from ххх.ххх.ххх.ххх to any 80 out xmit msk0<br>