freebsd 7.0, ipfw, pipe

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
FreeBSD-User
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-01-17 5:30:41

freebsd 7.0, ipfw, pipe

Непрочитанное сообщение FreeBSD-User » 2009-01-17 5:33:23

Всем доброго времени суток.
И так имеем проблему:

Код: Выделить всё

ipfw show
00100 7604  509736 allow ip from 192.168.2.1 to me dst-port 22
00200 8079 5227032 allow ip from me to 192.168.2.1 src-port 22
65200    0       0 pipe 65200 ip from any to 192.168.2.254
65300    0       0 pipe 65300 ip from 192.168.2.254 to any
65535 1502  190313 deny ip from any to any
ipfw pipe show
65200:  64.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
65300:  64.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
/var/log/security

Код: Выделить всё

Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 out via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 out via le0
1. в результате скорость на 192.168.2.254 ~100кбайт/сек (сама порезка заметна, но непонятна)
2. и ещё, если добавить в 65200 в конец сторки out, а в 65300 in пакеты на 192.168.2.254
перестают бегать вообще.
3. Интересует почему по 1 правилу пакеты бегают и туда и обратно, то есть фактически можно использоваться одно.

Хотелось бы получить ответы на 3 этих вопроса.

Заранее извеняюсь если подобная тема уже была, хотелось бы её увидеть если есть такова ...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение paradox » 2009-01-17 12:32:35

это я бы сказал не проблема
а незнание работы фаервола

FreeBSD-User
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-01-17 5:30:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение FreeBSD-User » 2009-01-17 12:44:41

Подскажи пожалуйста в чем ошибка ...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение paradox » 2009-01-17 12:49:43

Код: Выделить всё

65200    0       0 pipe 65200 ip from any to 192.168.2.254
65300    0       0 pipe 65300 ip from 192.168.2.254 to any
практически одно и тоже правило
поскольку нет интерфейса относительно которого оно считает(активируеться)
поэтому каждое считает два раза


уже это

Код: Выделить всё

Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 out via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 out via le0
должно заставить задуматься

FreeBSD-User
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-01-17 5:30:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение FreeBSD-User » 2009-01-17 12:51:29

Это я уже понял, спасибо что сказал почему.
Ну вот незадача, когда добавляю in via IF & out via IF паакеты не бегают вообще
то есть вида
pipe 65200 ip from any to 192.168.2.254 out via le0
pipe 65300 ip from 192.168.2.254 to any in via le0
собственно почему ?

то есть вот элементарное правило на срабатует:

Код: Выделить всё

mysrv# ipfw show 
00100 30493  1829752 allow ip from 192.168.2.1 to me dst-port 22 
00200 39510 20709686 allow ip from me to 192.168.2.1 src-port 22 
64200     1       60 allow log ip from 192.168.2.254 to any in 
64300     0        0 allow log ip from any to 192.168.2.254 out 
65535 19892  1309590 deny ip from any to any
через время:

Код: Выделить всё

mysrv# ipfw show 
00100 30523  1832088 allow ip from 192.168.2.1 to me dst-port 22 
00200 39536 20713338 allow ip from me to 192.168.2.1 src-port 22 
64200    12      720 allow log ip from 192.168.2.254 to any in 
64300     0        0 allow log ip from any to 192.168.2.254 out 
65535 20076  1318090 deny ip from any to any 
видно что не отрабатует аут аллов, пакеты идут почему-то в дени
Последний раз редактировалось FreeBSD-User 2009-01-17 12:54:02, всего редактировалось 1 раз.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение paradox » 2009-01-17 12:53:16

потому что вы нехотите видеть очевидно

берите в руки ручку
лист А4 и рисуйте
то что у вас в логе

может поймете...

FreeBSD-User
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-01-17 5:30:41

Re: freebsd 7.0, ipfw, pipe

Непрочитанное сообщение FreeBSD-User » 2009-01-17 12:59:07

Неужели так трудно помочь, если Вы значете ?