URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70226
[ Назад ]

Исходное сообщение
"IPFW Помогите начинающему"
Отправлено Inferno65 , 14-Ноя-06 06:26

Доброго времени суток !!!
Проблемка небольшая, прочитал маны по IPFW но маленько недопонял ...
Суть проблемы попасть из определ хоста в локалке с определенного порта на удаленный хост в инете тоже на определенный порт, изначально стоит правило, никого не пущать
${fwcmd} add deny all from ${localnet}:${localmask} to any via ${outif}
пишу перед ним правило
${fwcmd} add pass tcp from 192.168.0.6 5555 to xxx.xxx.xxx.xxx 5555 in via ${outif}
ну или так внаглую уже
${fwcmd} add pass tcp from 192.168.0.6 to any in via ${outif}
не пролазит, т.к я думаю верхнее правило deny все обрубает напрочь, пишу после deny, тот же результат, наверное после того как срабатывает deny он перестает все проверять то что ниже.
Обремариваю правило deny, перезапущаю фаерволл, тогда всем все разрешается, а это не желательно конечно ... Нужно, допустим разрешить одному и запретить всем ....
Заранее спасибо ...

Содержание

IPFW Помогите начинающему,mAdDuke, 10:03 , 14-Ноя-06
- IPFW Помогите начинающему,Inferno65, 11:09 , 14-Ноя-06
  - IPFW Помогите начинающему,Deac, 14:09 , 14-Ноя-06
    - IPFW Помогите начинающему,Inferno65, 04:26 , 16-Ноя-06
  - IPFW Помогите начинающему,Inferno65, 04:33 , 16-Ноя-06

Сообщения в этом обсуждении

"IPFW Помогите начинающему"
Отправлено mAdDuke , 14-Ноя-06 10:03

Во-первых, срабатывает первое правило где совпали условия.
Во-вторых, вот разрешил ты пакет на входе внешнего интерфейса, а на выходе не разрешил...
+ а где обратное правило, для разрешения пакетов от удаленного хоста к твоему?
Если указываешь направление пакета в интерфейсе - будь добр проследить всю цепочку... два интерфейса (внутренний и внешний) - два входа, два выхода.
Пускай меня поправят, еслив обманул где.

"IPFW Помогите начинающему"
Отправлено Inferno65 , 14-Ноя-06 11:09

>Во-первых, срабатывает первое правило где совпали условия.
>Во-вторых, вот разрешил ты пакет на входе внешнего интерфейса, а на выходе
>не разрешил...
>+ а где обратное правило, для разрешения пакетов от удаленного хоста к
>твоему?
>
>Если указываешь направление пакета в интерфейсе - будь добр проследить всю цепочку...
>два интерфейса (внутренний и внешний) - два входа, два выхода.
>
>Пускай меня поправят, еслив обманул где.
пардон я маленько ошибся, у меня вместо
in via ${outif} стоит просто
via ${outif}
и обратное правило я тоже писал извне в локалку все равно не помогло ...

"IPFW Помогите начинающему"
Отправлено Deac , 14-Ноя-06 14:09

>>Во-первых, срабатывает первое правило где совпали условия.
>>Во-вторых, вот разрешил ты пакет на входе внешнего интерфейса, а на выходе
>>не разрешил...
>>+ а где обратное правило, для разрешения пакетов от удаленного хоста к
>>твоему?
>>
>>Если указываешь направление пакета в интерфейсе - будь добр проследить всю цепочку...
>>два интерфейса (внутренний и внешний) - два входа, два выхода.
>>
>>Пускай меня поправят, еслив обманул где.
>
>пардон я маленько ошибся, у меня вместо
>in via ${outif} стоит просто
>via ${outif}
>
>и обратное правило я тоже писал извне в локалку все равно не
>помогло ...
Попробуй так:
${fwcmd} add deny all from not 192.168.0.6 to any out via ${outif}
${fwcmd} add deny all from any to not 192.168.0.6 in via ${outif}
${fwcmd} add allow all from 192.168.0.6 to any out via ${outif}
${fwcmd} add allow all from any to 192.168.0.6 in via ${outif}
Требуется IPFW2

"IPFW Помогите начинающему"
Отправлено Inferno65 , 16-Ноя-06 04:26

>>>Во-первых, срабатывает первое правило где совпали условия.
>>>Во-вторых, вот разрешил ты пакет на входе внешнего интерфейса, а на выходе
>>>не разрешил...
>>>+ а где обратное правило, для разрешения пакетов от удаленного хоста к
>>>твоему?
>>>
>>>Если указываешь направление пакета в интерфейсе - будь добр проследить всю цепочку...
>>>два интерфейса (внутренний и внешний) - два входа, два выхода.
>>>
>>>Пускай меня поправят, еслив обманул где.
>>
>>пардон я маленько ошибся, у меня вместо
>>in via ${outif} стоит просто
>>via ${outif}
>>
>>и обратное правило я тоже писал извне в локалку все равно не
>>помогло ...
>
>Попробуй так:
>${fwcmd} add deny all from not 192.168.0.6 to any out via ${outif}
>
>${fwcmd} add deny all from any to not 192.168.0.6 in via ${outif}
>
>${fwcmd} add allow all from 192.168.0.6 to any out via ${outif}
>${fwcmd} add allow all from any to 192.168.0.6 in via ${outif}
>
>Требуется IPFW2

не помогает ...

"IPFW Помогите начинающему"
Отправлено Inferno65 , 16-Ноя-06 04:33

>>Во-первых, срабатывает первое правило где совпали условия.
>>Во-вторых, вот разрешил ты пакет на входе внешнего интерфейса, а на выходе
>>не разрешил...
>>+ а где обратное правило, для разрешения пакетов от удаленного хоста к
>>твоему?
>>
>>Если указываешь направление пакета в интерфейсе - будь добр проследить всю цепочку...
>>два интерфейса (внутренний и внешний) - два входа, два выхода.
>>
>>Пускай меня поправят, еслив обманул где.
>
>пардон я маленько ошибся, у меня вместо
>in via ${outif} стоит просто
>via ${outif}
>
>и обратное правило я тоже писал извне в локалку все равно не
>помогло ...

и как бы это все завернуть на сквид, а то получаецца оно мимо ходит ...