Подскажите в чем грабли. IPFW блокирует BRIDGE , отключаю фаервол всё идет куда надо.
FreeBSD 7.2
rc.firewall
#!/bin/sh
ipfw="/sbin/ipfw"
LanIn="bridge0"
IpIn="192.168.0.9"
${ipfw} -f flush
#
${ipfw} add 100 check-state
#
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 300 deny ip from any to 127.0.0.0/8
${ipfw} add 400 deny ip from 127.0.0.0/8 to any
#
${fwcmd} add allow udp from 0.0.0.0 2054 to 0.0.0.0 // Это правило с точки зрения обычной работы IPFIREWALL не #имеет никакого смысла, но код сетевого моста будет использовать его для беспрепятственного прохождения #ARP-пакетов (что вам заведомо нужно делать).
#
#
${ipfw} add 2500 allow tcp from any to any established
#
${ipfw} add 2600 allow tcp from any to any via ${LanIn}
${ipfw} add 2700 allow udp from any to any via ${LanIn}
${ipfw} add 2800 allow icmp from any to any via ${LanIn}
#
${ipfw} add deny ip from any to any
добавил в sysctl.conf
net.link.bridge.ipfw=1
net.inet.ip.fw.one_pass=0
IPFW блокирует BRIDGE
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ст. прапорщик
- Сообщения: 530
- Зарегистрирован: 2009-07-10 22:12:06
- Откуда: Ржев
- Контактная информация:
IPFW блокирует BRIDGE
... Да освятится имя твое и pасшиpение твое, Господи...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- camelium
- рядовой
- Сообщения: 43
- Зарегистрирован: 2009-07-05 14:01:36
- Откуда: Хмельницкий, UA
- Контактная информация:
Re: IPFW блокирует BRIDGE
заменить
заменить
и будет в логах видно какое правило халтурит
Код: Выделить всё
${fwcmd} add allow udp from 0.0.0.0 2054 to 0.0.0.0
на
${ipfw} add allow udp from 0.0.0.0 2054 to 0.0.0.0
Код: Выделить всё
${ipfw} add deny ip from any to any
на
${ipfw} add 65534 deny log ip from any to any
nobody is free
-
- проходил мимо
Re: IPFW блокирует BRIDGE
rl1 имеет адрес 192.168.0.110/24
fxp0 имеет адрес 192.168.0.100/24
bridge0 - адрес не присвоен
#!/bin/sh -
ipfw="/sbin/ipfw"
LanIn="bridge0"
${ipfw} -f flush
${ipfw} add 10 allow mac-type arp // нужно чтобы мост работал походу вместо этого
//(${ipfw} add allow udp from 0.0.0.0 2054 to 0.0.0.0)
// А вот когда добавил эти два правила трафик пошел через мост и ipfw стал считать проход. пакеты
// как это с точки зрения безопасности?
" хотя в прицепе внутри локалки весь трафик разрешен, мост нужен для разгрузки сети к samba "
${ipfw} add 30 allow ip from any to any via rl1
${ipfw} add 40 allow ip from any to any via fxp0
${ipfw} add 100 check-state
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 300 deny ip from any to 127.0.0.0/8
${ipfw} add 400 deny ip from 127.0.0.0/8 to any
${ipfw} add 500 allow tcp from any to any established
${ipfw} add 600 allow tcp from any to any via ${LanIn}
${ipfw} add 700 allow udp from any to any via ${LanIn}
${ipfw} add 800 allow icmp from any to any via ${LanIn}
${ipfw} add 2650 deny icmp from any to any frag
${ipfw} add 2680 allow icmp from any to any icmptypes 0,8,11
65535 allow ip from any to any
ipfw -a list
00010 13 598 allow ip from any to any mac-type 0x0806 // видно на этих интерфейсах идет трафик
00030 86 13794 allow ip from any to any via rl1 // rl1 ; fxp0 ; bridge0
00040 1041 154511 allow ip from any to any via fxp0 //
00100 0 0 check-state
00200 130 7112 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 allow tcp from any to any established
00600 0 0 allow tcp from any to any via bridge0
00700 73 12777 allow udp from any to any via bridge0 //
00800 0 0 allow icmp from any to any via bridge0
02650 0 0 deny icmp from any to any frag
02680 0 0 allow icmp from any to any icmptypes 0,8,11
65535 3 375 deny ip from any to any
может кто не будь подскажет последовательность правил для увеличение быстродействия ipfw
fxp0 имеет адрес 192.168.0.100/24
bridge0 - адрес не присвоен
#!/bin/sh -
ipfw="/sbin/ipfw"
LanIn="bridge0"
${ipfw} -f flush
${ipfw} add 10 allow mac-type arp // нужно чтобы мост работал походу вместо этого
//(${ipfw} add allow udp from 0.0.0.0 2054 to 0.0.0.0)
// А вот когда добавил эти два правила трафик пошел через мост и ipfw стал считать проход. пакеты
// как это с точки зрения безопасности?
" хотя в прицепе внутри локалки весь трафик разрешен, мост нужен для разгрузки сети к samba "
${ipfw} add 30 allow ip from any to any via rl1
${ipfw} add 40 allow ip from any to any via fxp0
${ipfw} add 100 check-state
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 300 deny ip from any to 127.0.0.0/8
${ipfw} add 400 deny ip from 127.0.0.0/8 to any
${ipfw} add 500 allow tcp from any to any established
${ipfw} add 600 allow tcp from any to any via ${LanIn}
${ipfw} add 700 allow udp from any to any via ${LanIn}
${ipfw} add 800 allow icmp from any to any via ${LanIn}
${ipfw} add 2650 deny icmp from any to any frag
${ipfw} add 2680 allow icmp from any to any icmptypes 0,8,11
65535 allow ip from any to any
ipfw -a list
00010 13 598 allow ip from any to any mac-type 0x0806 // видно на этих интерфейсах идет трафик
00030 86 13794 allow ip from any to any via rl1 // rl1 ; fxp0 ; bridge0
00040 1041 154511 allow ip from any to any via fxp0 //
00100 0 0 check-state
00200 130 7112 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 allow tcp from any to any established
00600 0 0 allow tcp from any to any via bridge0
00700 73 12777 allow udp from any to any via bridge0 //
00800 0 0 allow icmp from any to any via bridge0
02650 0 0 deny icmp from any to any frag
02680 0 0 allow icmp from any to any icmptypes 0,8,11
65535 3 375 deny ip from any to any
может кто не будь подскажет последовательность правил для увеличение быстродействия ipfw