Чё по теории будет? IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Чё по теории будет? IPFW

Непрочитанное сообщение northern » 2006-03-09 21:51:18

С моим ISP, idsl и 512k, естественно ограничен объём, если я буду резать на фре канал (ipfw), чего будет с пакетами приходящими, isp будет ждать затянувшийся ответ или будет слать повторные пакеты?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-09 22:30:07

Ждать будет.
Пакет по модему прошёл, о чём модем отчитался модему провайдера. Дальше - дело ОС.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-10 9:43:43

Также будет если модем в режиме bridge?
То есть, в любом случае, если будет такая конструкция:

Код: Выделить всё

 add pipe 1 ip from any to any 
 pipe 1 config bw 33600bit/s
пакеты повторно отправляться со стороны прова не будут?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-10 9:49:54

нет. От тебя же требуются подтверждения, а отправлять ты их полюбому не сможешь, быстрей чем получаешь. А нет подтвеждения - нет следующих пакетов, не считая "окна" в 32-64k которые могут идти без подтверждения.
Но даже после окна, пока не получил подтверждение или требование дальше передавать удалённый сервак ничё передавать не будет.


У тебя неверный подход, на мой взгляд. Я бы резал изнутри, на раздаче...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-10 9:58:39

успокоил :)
========
У тебя неверный подход, на мой взгляд. Я бы резал изнутри, на раздаче...
это как, мне резать у прова? Это схема у меня дома сейчас: ISP 512k->adsl (сейчас роутер)->мой комп
или ты имеешь ввиду между моим модемом и моим компом фрю накатить?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-10 10:03:25

:)
А я подумал ты про офис :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-10 10:06:36

в офисе 64к неограниченный, резать нечего :) .

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-10 10:07:53

Это вы зря батенька...
Резать всегда есть что :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-10 13:04:43

Я вот ещё чего хотел сказать, у тя в статьях DUMMYNET и IPFW в строках установки pipe:

Код: Выделить всё

${FwCMD} pipe 1 config bw 100000000 bit/s
между числом и bit/s стоит пробел, я на 6 фряхе изрядно потрахался, пока не убрал этот пробел:

Код: Выделить всё

${FwCMD} pipe 1 config bw 100000000bit/s

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-10 13:38:34

во как... на 4.11 и с ним пашет... Учту...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-11 19:17:36

Чё за хрень? пробую с ftp:

Код: Выделить всё

#FTP other
${FwCMD} add allow log tcp from any 20,21, to me in via ${LanOut}
${FwCMD} add allow log tcp from me to any 20,21 out via ${LanOut} 
#
${FwCMD} add 65534 deny log ip from any to any
в опере иду на ftp.microsoft.com не пущаит, смотрю по логам:

Код: Выделить всё

Mar 11 17:46:53 oleg kernel: ipfw: 1000 Accept TCP 207.46.133.140:21 192.168.1.2:51498 in via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 1100 Accept TCP 192.168.1.2:51498 207.46.133.140:21 out via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 65534 Deny TCP 192.168.1.2:62939 207.46.133.140:13376 out via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 1000 Accept TCP 207.46.133.140:21 192.168.1.2:51498 in via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 1100 Accept TCP 192.168.1.2:51498 207.46.133.140:21 out via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 1000 Accept TCP 207.46.133.140:21 192.168.1.2:51498 in via ed0
Mar 11 17:46:53 oleg kernel: ipfw: 1100 Accept TCP 192.168.1.2:51498 207.46.133.140:21 out via ed0
Mar 11 17:46:54 oleg kernel: ipfw: 1000 Accept TCP 207.46.133.140:21 192.168.1.2:51498 in via ed0
Mar 11 17:46:54 oleg kernel: ipfw: 1100 Accept TCP 192.168.1.2:51498 207.46.133.140:21 out via ed0
Mar 11 17:46:56 oleg kernel: ipfw: 65534 Deny TCP 192.168.1.2:62939 207.46.133.140:13376 out via ed0
а вот Konqueror пускает, ему по барабану эти:

Код: Выделить всё

Mar 11 17:46:53 oleg kernel: ipfw: 65534 Deny TCP 192.168.1.2:62939 207.46.133.140:13376 out via ed0
пока для оперы не откроешь:

Код: Выделить всё

${FwCMD} add allow log tcp from any 20,21,2000-65535 to me in via ${LanOut}
${FwCMD} add allow log tcp from me to any 20,21,2000-65535 out via ${LanOut}
клиент ftp в опере не пашет.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-11 20:32:24

режим пасивный/активный... Вот и вся разница
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-19 0:00:51

что это может быть:

Код: Выделить всё

Mar 18 22:22:21 oleg kernel: ipfw: 600 Deny ICMP:8.0 213.130.14.60 192.168.1.2 in via ed0
Mar 18 22:24:51 oleg kernel: ipfw: 600 Deny ICMP:8.0 213.130.14.60 192.168.1.2 in via ed0
Mar 18 22:26:52 oleg kernel: ipfw: 600 Deny ICMP:8.0 213.130.14.60 192.168.1.2 in via ed0
кто то ко мне щемится с интервалом в 2 минуты, для чего?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-03-19 2:07:05

У тя icmp какие то зарублены, да ещё и в лог пишутся.
Посмотри, если зарублены типа 0 и 8 (кажись они и есть по логам) - то это эхо-запрос и эхо-ответ. Пинги короче :)

Кто-тебя пингует :)))

==
Лучше разреши 0,8,11. Ибо icmp используетя для контроля целостности сети... Можно ещё кой чего. Почитать можно тут - http://www.lissyara.su/?id=1054 в самом низу страницы таблица.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-03-19 9:47:39

У тя icmp какието зарублены,
ну да, это я их и зарубил, с какого-то примера:

Код: Выделить всё

#ICMP
${FwCMD} add allow icmp from any to any in via ${LanOut} icmptype 0, 3, 4, 11, 12 
${FwCMD} add allow icmp from any to any out via ${LanOut} icmptype 3, 8, 12 
${FwCMD} add allow icmp from any to any out via ${LanOut} frag 
${FwCMD} add deny log icmp from any to any in via ${LanOut}
но интересна периодичность, примерно раз в час, и ночью тоже.