ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitriy Kyrhlarov                    2:5020/400     04 Sep 2001  00:16:20
 To : Alexander V. Naumochkin
 Subject : Re: ipfw
 -------------------------------------------------------------------------------- 
 

 Hi!
 
 "Alexander V. Naumochkin" wrote:
 
 > 
 >  DK> Дай, плз, рекомендации по удобству организации правил.
 > 
 > Это называется "Саша!  Hапиши нам firewall" :)  Дима, у меня есть подозрение,
 
 Вообще-то, нет. Я хотел получить _общие_ рекомендации, если таковые
 имеются. Я же не добавил к вопросу "в моем случае". ;-)
 
 > что ты не очень отчётливо представляешь себе, что, где и как происходит с
 > каждым пакетиком в связке natd/ipfw.  Без этого понимания можно мудрить до
 
 Hаверное, да...
 Вот правило divert.
 Hаписано: правило выполнилось -- поиск прекращается.
 Hо, этого оказалось недостаточно, чтобы разрешить прохождение пакетов нв
 80-й порт на внутренний интерфейс -- надо было добавлять правило allow:
 $fwcmd add divert natd ip from any to ${oip} in via ${natd_interface}
 ${fwcmd} add allow tcp from any to ${iip} 80 in via ${oif} setup
 Получается, что после передачи пакета нату пакет считается новым и
 по-новой проходит по всем правилам? Или это срабатывает:
      Each incoming or outgoing packet is passed through the ipfw rules. 
 If
      host is acting as a gateway, packets forwarded by the gateway are
 pro-
      cessed by ipfw twice.
 
 Почему, тогда
 ${fwcmd} add allow tcp from any to ${iip} 80 in via ${oif} setup
 $fwcmd add divert natd ip from any to ${oip} in via ${natd_interface}
 не срабатывает?
 За первый проход -- вторая строка, за второй -- первая.
 
 > Вполне себе "рекомендации" - /etc/rc.firewall.  Тем не менее, универсального
 
 Это понятно. От него и пляшу.
 
 > Дим, почитай man'ы соответствующие.  Внимательно и скрупулёзно.  Рекомендую
 
 С Сб по сейчас и дальше.
 
 > даже тут же писать перевод на русский, а потом предъявить народу - заодно
 > узнаешь, насколько хорошо ты сам всё понял.  Кстати, недавно видел какую-то
 
 В работе. Такой язык кривой получается, хуже, чем у робота-переводчика.
 :-)
 
 > книжку по firewall'ам (слово прямо в названии присутствует).  Быстро
 
 "Брандмауэры в Линукс" штудирую вторую неделю. Там, конечно, ipchains,
 но теория тоже есть.
 
 >  >> Тут ты просто так не выкрутишься в силу хитростей ftp-протокола.
 > 
 >  DK> Покажи, плз, пальцем на эти хитрости.
 > 
 > STD0009 (RFC0959), RFC228, RFC2640
 
 Пт, Сб. Все равно не понял чего я не понял. Последние 2 RFC, вообще,
 имхо, отношения к данному вопросу не имеют -- там тонкости управляющей
 сессии и поддержки языков. Hикаких дополнительных каналов, никаких
 дополнительных пакетов. Связи с ipfw не углядел.
 
 А по RFC0959, имхо, все так и работает, как я писал (см. предыдущие
 письма)
 
 >  DK> Думаю, что активный режим, надо закрыть совсем,
 > 
 > И что будет делать тот, кто пользуется клиентом, не поддерживающим passive?
 
 У меня 2 юзера, которые знают о существовании ftp. У обоих клиенты с
 поддержкой пассивного режима.
 Красивше, конечно, и активный режим сделать... Посмотрим.
 
 > PS: Дим, в твоей фирме нет одного хотя бы 386-го компутера с тремя (для совсем
 
 Смеяться будешь. Hету.
 Есть 2 АТ-корпуса без БП, есть мать, камень и память от трехи, есть еще
 2 камня 133-их, несколько SIMM и VLB-шная видюха. Все.
 Винта нет, ISA сетевухи нет, ISA видюхи нет.
 Денег на железо не дают.
 Вот как перелезу целиком на новый канал (о чем вся бодяга) появится аж
 486-ая неучтенная. :-)
 Кста, почему 3-мя сетевухами?
 
 Пока переназначил своей машинке default gateway на новую фрю.
 Ковыряюсь...
 
 By.
 Dmitriy
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    ipfw   Dmitriy Kyrhlarov   29 Aug 2001 14:48:44   Re: ipfw   Alexander V. Naumochkin   29 Aug 2001 16:03:39   Re: ipfw   Dmitriy Kyrhlarov   29 Aug 2001 21:41:17   Re: ipfw   Alexander V. Naumochkin   30 Aug 2001 13:22:01   Re: ipfw   Dmitriy Kyrhlarov   30 Aug 2001 17:06:58   Re: ipfw   Alexander V. Naumochkin   31 Aug 2001 14:39:12   ipfw   Alexandr Oskolkov   31 Aug 2001 23:07:19   Re: ipfw   Dmitriy Kyrhlarov   04 Sep 2001 00:16:20   ipfw   Valentin Nechayev   04 Sep 2001 12:57:42   Re: ipfw   Dmitriy Kyrhlarov   04 Sep 2001 13:20:11   ipfw   Valentin Nechayev   04 Sep 2001 14:11:01   Re: ipfw   Dmitriy Kyrhlarov   04 Sep 2001 19:33:42   Re: ipfw   Dmitriy Kyrhlarov   04 Sep 2001 19:37:44   ipfw   Ivan Voytas   05 Sep 2001 14:48:15   Re: ipfw   Dmitriy Kyrhlarov   07 Sep 2001 14:25:47   Re: Re: ipfw   Dennis Melentyev   07 Sep 2001 16:24:38   ipfw   Ivan Voytas   05 Sep 2001 14:31:38   Re: ipfw   Dmitriy Kyrhlarov   29 Aug 2001 16:16:15