The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"прохождение пакетов через ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"прохождение пакетов через ipfw" 
Сообщение от cm emailИскать по авторуВ закладки(ok) on 14-Апр-05, 13:39  (MSK)
доброго времени всем

подскажите пожалуйста

вопрос 1:
  fxp0 - серый IP, локалка
  ed0 - реальный IP, Интернет
  пакет идёт из локалки в мир
  если пакет из локалки в мир прошел правило
    100 allow tcp from 10.0.0.0/24 to any http in via fxp0
  то нужны ли ему правила
    200 allow tcp from 10.0.0.0/24 to any http out via fxp0
    300 allow tcp from 10.0.0.0/24 to any http out via ed0
  чтобы не напороться на
    400 deny all from any to any
Кроме того просветите, если нужны правила 200, 300 то пакет
  трижды проходит список правил от начала до конца или один
  раз?

вопрос 2:
  если я пишу правило
    100 divert natd all from any to any in via ed0
  то пакет изменяет адрес получателя и продолжает движение
  по списку правил, или изменяет адрес получателя и входит
  в ipfw заново?

Не пишите пожалуйста про серые IP в мире и другие проблемы,
  в данном случае интересно только прохождение пакетов.
Извините, если путано и заранее спасибо

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "прохождение пакетов через ipfw" 
Сообщение от cm emailИскать по авторуВ закладки(ok) on 14-Апр-05, 14:31  (MSK)
имелось в виду
    100 allow ... in recv fxp0
  то нужны ли ему правила
    200 allow ... out recv fxp0
    300 allow ... out xmit ed0
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "прохождение пакетов через ipfw" 
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 14-Апр-05, 14:56  (MSK)
>имелось в виду
>    100 allow ... in recv fxp0
>  то нужны ли ему правила
>    200 allow ... out recv fxp0
200 не нужно  
>    300 allow ... out xmit ed0


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "прохождение пакетов через ipfw" 
Сообщение от cm Искать по авторуВ закладки(ok) on 14-Апр-05, 15:49  (MSK)
>>имелось в виду
>>    100 allow ... in recv fxp0
>>  то нужны ли ему правила
>>    200 allow ... out recv fxp0
>200 не нужно
>>    300 allow ... out xmit ed0

а запретить этот пакет можно правилом 200 deny ... out recv fxp0?

или завернуть на NAT? т.е. можно ли например сделать при прикрученом NAT:
  allow tcp from any to any established in recv ed0
  allow tcp from any to any smtp setup in recv ed0
  allow tcp from any to any pop3 setup in recv ed0
  deny all from any to any in recv ed0

  divert natd all from any to any out recv ed0

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "прохождение пакетов через ipfw" 
Сообщение от e719 emailИскать по авторуВ закладки(??) on 15-Апр-05, 18:02  (MSK)
Ну в исходном вопросе про НАТ не было ни слова
а было сказано, что не надо говорить про серые IP

200 тебе понадобится на обратке, когда пакеты назад будут возвращаться
только его надо переписать
allow tcp from any 80 to localnet out via fxp0
а если ты будешь делить входной и выходной трафик, тебе понадобится два правила диверт: одно на вход, другое на выход

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру