URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 60814
[ Назад ]

Исходное сообщение
"ipfw limit src-addr косячно работает"
Отправлено band20 , 11-Окт-05 11:10

на гейте строю файрвол с помощью ipfw. хочу ограничить количество коннектов наружу, из маскируемой сети, для чего использую limit src-addr.
пишу правила:
$fwcmd add 4200 divert 8669 log logamount 10000 all from any to $oip in via $ifout
$fwcmd add 4976 divert 8669 all from 10.123.123.123 to any out via $ifout
$fwcmd add 4977 pipe 5 log logamount 10000 tcp from 10.123.123.123 to any via $ifin limit src-addr 5
$fwcmd add 4978 pipe 5 udp from 10.123.123.123 to any via $ifin
$fwcmd add 4979 pipe 5 log logamount 10000 all from any to 10.123.123.123 out via $ifin
$fwcmd pipe 5 config bw 128Kbit/s
$fwcmd add 5000 allow log logamount 100000 all from $oip to any out via $ifout
проверяю работу инета - фиг. запускаю tcpdump и вижу что с внешнего интерфейса пакеты уходят с адресом 10.123.123.123
смотрю на счетчик пакетов - по правилу №4976 пакеты не проходят. ставлю log пакетов и вижу
Oct 11 10:32:46 r1a /kernel: ipfw: 4977 Pipe 4 TCP 10.123.123.123:1263 194.67.67.194:80 in via rl1
Oct 11 10:32:46 r1a /kernel: ipfw: 4977 Pipe 4 TCP 10.123.123.123:1263 194.67.67.194:80 out via rl0
получается что пакет вместо 4976 проходит по 4977 правилу!
тогда я подумал что дело в net.inet.ip.fw.one_pass, но эта переменная установлена в 1.
попробовал убрать limit src-addr 5, и пакеты стали ходить как положено.
в чем косяк?

Содержание

ipfw limit src-addr косячно работает,NoName, 12:38 , 11-Окт-05
- ipfw limit src-addr косячно работает,band20, 15:29 , 11-Окт-05
- ipfw limit src-addr косячно работает,Pazigun, 07:27 , 13-Июн-10

Сообщения в этом обсуждении

"ipfw limit src-addr косячно работает"
Отправлено NoName , 11-Окт-05 12:38

1. попробуйте вынести limit src-addr 5 в отдельное правило
2
поменяйте правила местами
$fwcmd add 4200 divert 8669 log logamount 10000 all from any to $oip in via $ifout
$fwcmd add 4976 divert 8669 all from 10.123.123.123 to any out via $ifout
, так как 10.123.123.123 входит в ALL
MyHomePage - http://surgutnet.ru

"ipfw limit src-addr косячно работает"
Отправлено band20 , 11-Окт-05 15:29

>1. попробуйте вынести limit src-addr 5 в отдельное правило
не помогает

"ipfw limit src-addr косячно работает"
Отправлено Pazigun , 13-Июн-10 07:27

>1. попробуйте вынести limit src-addr 5 в отдельное правило
>2
>поменяйте правила местами
>$fwcmd add 4200 divert 8669 log logamount 10000 all from any to
>$oip in via $ifout
>$fwcmd add 4976 divert 8669 all from 10.123.123.123 to any out via
>$ifout
>, так как 10.123.123.123 входит в ALL
>
>MyHomePage - http://surgutnet.ru
Верно, была такая же ситуация. Все работает без трабл.
(HP - http://www.krasgate.ru)