URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24897
[ Назад ]

Исходное сообщение
"Проблема с ipfw и check-state"
Отправлено ShyLion , 10-Янв-03 13:06

FreeBSD 4.7 p3
ipfw2
простейший пример конфигурации
ipfw add 100 check-state
ipfw add 200 deny log tcp from any to any established
ipfw add 300 permit tcp from any to any setup
на некоторых соединениях, по завершении валятся в лог пакеты с FIN флагом (смотрел tcpdump'ом) от хоста, с которым было соединение.
Jan 10 12:04:24 tower /kernel: ipfw: 200 Deny TCP 217.66.99.188:80 193.111.x.x:1147 in via rl1
при этом все работает, страницы в браузере грузятся нормально и т.п.
пробовал увеличить значения:
net.inet.ip.fw.dyn_fin_lifetime
net.inet.ip.fw.dyn_rst_lifetime
до 4
визуально вроде меньше таких записей стало, но все равно они появляются.
tcpdump также показал, что от некоторых хостов пакет с FIN приходит иногда по нескольку раз, видимо это и влияет - ipfw правило на первом fin'e отрубает, а второй уже не пускает. шо с ентим делать?

Содержание

RE: Проблема с ipfw и check-state,ShyLion, 15:30 , 17-Янв-03

Сообщения в этом обсуждении

"RE: Проблема с ipfw и check-state"
Отправлено ShyLion , 17-Янв-03 15:30

up
шо, нет любителей файрволов тута?