Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : mitrohin a.s.                        2:5020/400     14 Oct 2000  10:24:32
 To : All
 Subject : natd
 -------------------------------------------------------------------------------- 
 
 поправте меня если я неправ
 
 пакет проверяется списком правил дважды -- на входе и на выходе.
 если на входном интерфейсе пакет прошел, то, если пакет должен уйти
 дальше, он будет проверяться еще раз на исходящем интерфейсе.
 иными словами если пакету надо попасть на нашу машину, то он
 должен пройти наши правила -- а можно ли впустить этот пакет,
 после чего наша машина чего-то с ним делает и,
 если решает отправить этот пакет дальше -- то проверяет
 его списком правил еще раз -- а можно ли этот пакет выпускать.
 соответственно нами генерируемые пакеты будут проверяться один раз --
 на выходе, а предназначенные нам -- один раз -- на входе.
 
 пример правил и для входящих и для исходящих пакетов
 
   # глушатся все пакеты и на входе и на выходе
 ipfw add deny icmp from any to any
   # пропускаются все пакеты через ed0
 ipfw add pass icmp from any to any via ed0
 
 пример однонапрвленных правил
 
   # разрешены все входящие пакеты через ed0
   # вместо in recv можно написать in via :)))
 ipfw add deny ip from any to any in recv ed0
   # разрешены все исходящие пакеты через ed0
   # вместо out xmit можно написать out via
 ipfw add deny ip from any to any out xmit ed0
 
 очень важно что путь пройденный пакетом по нашей машине запоминается
 и соответственно мы можем использовать такие параметры как входящий
 и исходящий интерфейс.
 
 это еще один интересный пример однонаправленных правил
 
   # запрещаются все ИСХОДЯЩИЕ через ed1 пакеты, которые
   # были получены через ed0
 ipfw add deny ip fron any to any out recv ed0 xmit ed1
 
 divert правила заворачивают все пакеты на сокет, который
 слушает natd. natd переписывает содержимое заголовка пакета.
 далее переходим к следующему правилу (!!! а пакет то уже другой).
 
 например
 
   # заворачивается весь трафик через внешний интерфейс
 ipfw add divert 8668 ip from any to any via sl0
 пример
     считаем что внутри только друзья -- которые используют
     прокси :)))
 
 ipfw add pass ip from any to any via lo0
 ipfw add pass tcp from any to any established
 ipfw add pass icmp from any to any
 ipfw add pass ip from any to any frag
 ipfw add pass ip from any to any via ed0
 ipfw add pass ip from ${ip_sl0} to any out xmit sl0
 ipfw add pass tcp from any to ${ip_sl0} smtp in recv sl0 setup
 ipfw add pass tcp from any to ${ip_sl0} http in recv sl0 setup
 ipfw add pass tcp from any to ${ip_sl0} 53 in recv sl0 setup
 ipfw add pass udp from any to ${ip_sl0} 53 in recv sl0
 ipfw add pass udp from any 53 to ${ip_sl0} in recv sl0
   # это чтобы посмотреть чего мы запрещаем
   # может мы не правы?
 ipfw add count log ip from any to any
   # последнее правило
 65535 deny ip from any to any
 
 comments?
 --- ifmail v.2.15dev5
  * Origin: barnaul state pedagogical university (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 natd   mitrohin a.s.   14 Oct 2000 10:24:32 
Архивное /ru.unix.bsd/76197239d048.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional