|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : mitrohin a.s. 2:5020/400 17 Oct 2005 10:36:44
To : All
Subject : ipfw fwd правило срабатывает но пакеты уходят в defaultroute.
--------------------------------------------------------------------------------
helo.
вот простенькие правила, которые не хотят работать...
не пойму это bug или я где-то не прав?
это внутренняя машина, на которой есть честный адрес 83.246.136.145,
на котором сидит bind9. хочется держать мастер зону и дать трансфер
внешней машине. defaultroute смотрит не в ту сторону, чей это есть
адрес, то бишь нужно перенаправлять пакеты с адресом источника из
83.246.136.144/28 на 172.16.42.1, a не по таблице маршрутизации.
allow via lo0
deny { src-ip 127.0.0.0/8 or dst-ip 127.0.0.0/8 }
allow proto ospf
allow ... /* из локальных доступных адресов на локально доступные */
check-state
skipto 50000 { proto tcp or proto udp } dst-ip 83.246.136.145 dst-port 53 in
keep-state
skipto 50000 proto icmp dst-ip 83.246.136.144/28 in keep-state
skipto 50000 src-ip 83.246.136.144/28 out keep-state
deny log dst-ip 83.246.136.144/28
allow proto ip
50000 fwd 172.16.42.1 src-ip 83.246.136.144/28 out
allow proto ip
пинг снаружи на 83.246.136.145 попадает на машину, создается динамическое
правило и в /var/log/security можно увидеть совпадение исходящего пакета
правилу 50000. Hо несмотря на это все уходит по default route.
если пинг пускать с внутренней машины на внешнюю, пинг есть (и пакеты
форвардятся). снаружи вовнутрь - нет (и пакеты как бы форвардятся, но
уходят в default route). те же проблемы с udp.
вот пример логов security если пинг пускать с внутренней машины
1000 SkipTo 50000 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
50000 Forward to 172.16.42.1 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
1000 SkipTo 50000 ICMP:0.0 80.71.162.250 83.246.136.145 in via xl2
1000 SkipTo 50000 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
50000 Forward to 172.16.42.1 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
1000 SkipTo 50000 ICMP:0.0 80.71.162.250 83.246.136.145 in via xl2
1000 SkipTo 50000 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
50000 Forward to 172.16.42.1 ICMP:8.0 83.246.136.145 80.71.162.250 out via re0
и все работает.
а если снаружи на внутреннюю
900 SkipTo 50000 ICMP:8.0 80.71.162.250 83.246.136.145 in via xl2
900 SkipTo 50000 ICMP:0.0 83.246.136.145 80.71.162.250 out via re0
50000 Forward to 172.16.42.1 ICMP:0.0 83.246.136.145 80.71.162.250 out via re0
900 SkipTo 50000 ICMP:8.0 80.71.162.250 83.246.136.145 in via xl2
900 SkipTo 50000 ICMP:0.0 83.246.136.145 80.71.162.250 out via re0
50000 Forward to 172.16.42.1 ICMP:0.0 83.246.136.145 80.71.162.250 out via re0
и ничего не работает.
никакой принципиальной разницы imho.
но если открыть tcp порт - то все будет работать как надо. то бишь
icmp и udp вовнутрь не идут, но tcp замечательно идет. как так?
/swp
--- ifmail v.2.15dev5.3
* Origin: BSPU InterNetNews site (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
