https://ns.opennet.ru/openforum/vsluhforumID3/1755.html Обсуждение статьи тематического каталога: FreeBSD порядок размещения правил для IPFW (freebsd cronyx firewall ipfw)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/ipfw_divert_note.txt.html<br><br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#14 Tue, 27 Dec 2005 21:35:18 GMT а не подскажет ли кто как быть с pipe ? его куда в этом порядке вставлять ? in и out /// хотелось бы действующий firewall.rules посмотреть ... https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#12 Sat, 30 Jul 2005 04:42:10 GMT Я хочу рассмотреть ситуацию, когда локальная сеть имеет выход в интернет через шлюз.<br>На шлюзе только почта и www.<br>90-99% трафика в таком случае - это трафик между локалкой и внешним интернетом.<br>А подключения к портам шлюза - это 1-10% трафика.<br>Поэтому правила обрабатывающие трафик клиентов можно поставить поближе к началу.<br>Фаерволл можно настроить так:<br>100 allow ip from me to me #(система)<br><br># Здесь можно поставить разрешения и запрещения на доступ в интернет пользователей локалки, основанные на используемой биллинговой системе.<br><br># Теперь нужно порезать левый и вредный трафик. Кстати о skipto. Если за шлюзом есть сеть 192.168.0.0/24, то можно хитро фильтровать вредный трафик без вреда для локалки<br>200 skipto 2000 ip from 192.168.0.0/24 to any<br>300 skipto 2000 ip from any to 192.168.0.0/24<br># а после этого понаставить запрещения на частные или левые адреса<br>1010 deny ip from 127.0.0.0/8 to any not via lo0<br>1020 deny ip from any to 127.0.0.0/8 not via lo0<br>1030 deny ip from 10.0.0.0/8 to any<br>1040 deny https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#11 Wed, 30 Mar 2005 09:15:34 GMT natd(8) : "..After translation by natd, packets re-enter the firewall at the rule number following the rule number that caused the diversion (not the next rule if there are several at the same number)..."<br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#10 Wed, 22 Sep 2004 14:07:04 GMT Интересно, а как должен выгледеть файр волл, если net.link.ether.bridge=1<br>net.link.ether.bridge_ipfw=1<br>и с политикой 65535 deny ip from any to any<br>Физическая структура такая:<br>Есть сеть: 192.168.0.0/16<br>Эта сеть разделена физически на две части:<br>192.168.0.0/24 i 192.168.1.0/24<br>У каждой подсети есть свой сервачок, который раздает и-нет (natd) и считает трафик.<br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#9 Tue, 16 Mar 2004 12:14:21 GMT Точно подмечено: ПОЛЕЗНЫЙ трафик. Очипятался я там, есть такое дело ;-)<br>Но с другой стороны, считывать счетчики можно не только с правил count, но и с других правил (allow, deny, ...). Так что полет фантазии для подсчета трафика только count-том не ограничен ;-)<br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#8 Fri, 12 Mar 2004 10:13:40 GMT Почему никто даже не предлагает использовать ipfw skipto в правилах ?<br>Таким образом можно сделать структуру правил нелинейной, в виде бинарного дерева<br>Это позволит уменьшить кол-во обрабатываемых команд<br><br>Что же касается порядка размещения правил,<br>то с точки зрения скорости обработки правил,<br>внутренний канал как правило быстрее работает чем внешний<br>поэтому IMHO стоит сначала разрешить пакеты для внутренней сети<br>а потом уже обрабатывать уже пакет их внешней сети<br>и во внешнюю сеть<br><br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#7 Sat, 13 Dec 2003 12:49:32 GMT RTFM то конечно классно но не суть))) Поскольку Divert packets that match this rule to the divert(4) socket bound to port port. &lt;b&gt;The search terminates.&lt;/b&gt; это есть общий случай... а вот при попадании пакета в natd этот пакет так сказать реинжектится)) в файрвол и проходит правила с номерами, превышающими номер правила ната(в который он попал)Вот так вот))) а вы RTFM...<br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#6 Wed, 03 Dec 2003 12:34:02 GMT Ничего подобного. RTFM. <br>Пакеты могут быть "reinjected into firewall" в том случае, если правила неверно написаны. I.e., если в правиле на входящий пакет не поставлена опция проверять только входящие, то проверке он подвергнется входя в интерфейс и выходя из него. <br><br>Divert packets that match this rule to the divert(4) socket bound to port port. &lt;b&gt;The search terminates.&lt;/b&gt; RTFM. Полезно, по себе знаю.<br><br><br><br> https://ns.opennet.ru/openforum/vsluhforumID3/1755.html#5 Tue, 11 Nov 2003 04:06:42 GMT Это тебе не ipf/ipnat... тут используется древнейшая технология файерволостроения "first match" так что пакеты НЕ МОГУТ проходить правило более 1-го раза - попал пакет в правило и ушёл из файервола (кроме skipto number ИМХО). Если хочется поизголяться с НАТа - man 5 ipf (http://www.obfuscation.org/ipf/ тоже рулез) там "last match", а ipfw/natd/dummynet - это как бы... хм... быстрое решение, когда лень вникать. А ipf/ipnat тоже встроены... Опять же ИМХО получается что "скрипач не нужен".<br>