ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Michael Lebedev                      2:5029/50      06 Aug 2004  15:38:47
 To : All
 Subject : Фильтрация пакетов после ipfw fwd - работает ли?
 -------------------------------------------------------------------------------- 
 

 
    Я тут уже недавно спрашивал: как быть, если помимо ipfw fwd (ради policy
   routing) надо еще и "нормальные" правила фильтрации применять? Мне ответили
   цитатой из man, что, дескать, при sysctl бла-бла-бла.ip.fw.one_pass=0 после
   fwd пакет загружается в файвол снова. Так вот я попоразбирался (о чем ниже),
   пописал логи - что-то непохоже! Самое забавное, так это то, что та цитата из
   man ipfw в старых версиях фри присутствует, а вот в новой 4.10 - уже нет,
   обзац про forward сформулирован уже совсем иначе!.. впрочем, ковыряюсь-то
   я все равно не с 4.10, а с 3.1 (обновить ее там пока - не судьба).
 
    Так вот, простой эсперимент: ping. Ящик имеет ppp0 (туда прописан default
   routing, исторически), и rl0 (ethernet, новый альтернативный канал "в мир").
 
    Сначала, без форварда. Правила:
 # allow log icmp from any to xxx.xxx.xxx.0/24
 # allow log icmp from xxx.xxx.xxx.0/24 to any
    Пингую ящик, "_извне_":
 # ping xxx.xxx.xxx.125
    В лог ящика ушло:
 # Accept ICMP:8.0 212.26.228.208 XXX.XXX.XXX.125 in via rl0
 # Accept ICMP:0.0 XXX.XXX.XXX.125 212.26.228.208 out via ppp0
 
    Теперь, все то же самое, но с правилом fwd для policy routing:
 # fwd xxx.xxx.xxx.254 log icmp from xxx.xxx.xxx.0/24 to any out xmit ppp0
 # allow log icmp from any to xxx.xxx.xxx.0/24
 # allow log icmp from xxx.xxx.xxx.0/24 to any
    В логе, имеем:
 # Accept ICMP:8.0 212.26.228.208 xxx.xxx.xxx.125 in via rl0
 # Forward to xxx.xxx.xxx.254 ICMP:0.0 xxx.xxx.xxx.125 212.26.228.208 \
                                                                 out via ppp0
 
    И все! Hикаких записей о судьбе пакета после fwd - в логе нет.
   IMHO, в данном случае это означает, что после fwd пакет в файрвол
   уже не попадает. Hапомню, ...ip.fw.one_pass=0. :(   Как же быть?
 
                                               Михаил.
 
 ... 2,000,000 Леммингов не могут быть не правы.
 --- [Шабнигуратх мне друг, но BFG - дороже!] [RU.GAME.3D-SHOOTER]
  * Origin: NCL Station Reply Robot (2:5029/50)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Фильтрация пакетов после ipfw fwd - работает ли?   Michael Lebedev   06 Aug 2004 15:38:47   Re: Фильтрация пакетов после ipfw fwd - работает ли?   Anton V. Yuzhaninov   06 Aug 2004 16:16:03   Фильтрация пакетов после ipfw fwd - работает ли?   Michael Lebedev   06 Aug 2004 21:16:32   Re: Фильтрация пакетов после ipfw fwd - работает ли?   Eugene Grosbein   07 Aug 2004 20:16:22   =?koi8-r?Q?Re=3A_=E6=C9=CC=D8=D4=D2=C1=C3=C9=D1_=D0=C1=CB=C5=D4=CF=D7?=   Dmitry Pryanishnikov   13 Aug 2004 13:03:11   Re: Фильтрация пакетов   Eugene Grosbein   25 Aug 2004 08:59:40   Re: Фильтрация пакетов после ipfw fwd - работает ли?   Eugene Grosbein   07 Aug 2004 20:10:01