Прошу помощи у граммотных людей.
Стоит FreeBSD 5.0 + IPFilter (он же ipf, т.е. не ipfw)
Когда я пытаюсь загружать правила ipf где прописаны не ip, а имена host'ов, то firewall сразу же старается их отрезолвить. Если хотябы одно из правил не резолвится, то и в ядро они не загружаются. Мне просто надо вести подсчет трафика не по ip, а по именам ПК./etc/ipf.rules
count in on rl0 from any to fin.eng.local
count in on rl0 from any to voyager.eng.local
count in on rl0 from any to ...
count in on rl0 from any to ...Правила загружаю командой
ipf -Fa -f /etc/ipf.rulesПосле этой команды стоит DNS серверу сказать, что не могу найти fin.eng.local то ipf не загрузит ни первое, ни второе правило. Возможно, что так и должно быть, но может у кого-нибудь есть удачный опыт обмана ipf. Почему мне это надо: у меня в сети много мобильных пользователей, которых может не быть в офисе неделями и поэтому записей о них нет в DNS. Однако они могут позже подключаться. Мне кажется, что не верно каждый раз добавлять новые правила. Вот я и прописал все ПК сразу, чтобы когда они подключались, считался траффик.
похожая трабла в линуксе: masquerading - правила Iptables в /etc/ppp/firewall-masq не срабатывают, потому что ppp0 к этому моменту не поднят. Руками пишу bash /etc/ppp/firewall-masq - все работает.
>потому что ppp0 к этому моменту не поднят. Руками пишу bash
>/etc/ppp/firewall-masq - все работает.Спасибо за отклик но решения руками я сразу нашел и сам - работает. Но у меня проблемы возникаю при перезагрузке :-( Систему я администрирую удаленно, поэтому постоянно за ней не слежу.
Может у Вас есть еще идеи?
>Прошу помощи у граммотных людей.
>Стоит FreeBSD 5.0 + IPFilter (он же ipf, т.е. не ipfw)
[...]
>Мне кажется, что не верно каждый раз добавлять новые правила. Вот
>я и прописал все ПК сразу, чтобы когда они подключались, считался
>траффик."грамотный" пишется с одной "м", "трафик" -- с одной "ф".
Далее, несколько правил, которые я рекомендую соблюдать:
1) Не используй DNS-имена в правилах пакетных фильтров. Из этого
правила есть исключение: Можно использовать DNS-имена, если они
определены в /etc/hosts.2) Не используй пакетные фильтры для учета трафика. Из этого правила
есть исключение: Если речь идет не об отладке правил firewall, или
правило firewall служит только "перемычкой" (ipfw's divert, например).Есть еще много правил и советов, но не все сразу.
/poige
--
http://www.i.morning.ru/~poige/
>1) Не используй DNS-имена в правилах пакетных фильтров. Из этого
>правила есть исключение: Можно использовать DNS-имена, если они
>определены в /etc/hosts.По каким причинам это делать не желательно? У меня имена ПК стабильные, а вот ip могут получать разные.
>2) Не используй пакетные фильтры для учета трафика. Из этого правила
>есть исключение: Если речь идет не об отладке правил firewall, или
>правило firewall служит только "перемычкой" (ipfw's divert, например).Я использую в IPFilter правила count только для того, чтобы IPA с них снимала статистику.
>>1) Не используй DNS-имена в правилах пакетных фильтров. Из этого
>>правила есть исключение: Можно использовать DNS-имена, если они
>>определены в /etc/hosts.
>
>По каким причинам это делать не желательно? У меня имена ПК стабильные,
>а вот ip могут получать разные.Посмотри, например, /etc/rc.network:
# Establish ipfilter ruleset as early as possible (best in
# addition to IPFILTER_DEFAULT_BLOCK in the kernel config file)и посмотри, что делается *после* того, как загружаются правила. Очевидно,
что если firewall настраивается так рано, то ни о каком доступе к DNS-серверам речи идти не может.Вообще, в любой продуманной системе firewall инициализируется как можно скорее.
>
>>2) Не используй пакетные фильтры для учета трафика. Из этого правила
>>есть исключение: Если речь идет не об отладке правил firewall, или
>>правило firewall служит только "перемычкой" (ipfw's divert, например).
>
>Я использую в IPFilter правила count только для того, чтобы IPA с
>них снимала статистику.И чего, чем больше хостов, тем больше правил вида "count"?
/poige
--
http://www.i.morning.ru/~poige/