ipfw by lissyra

[100kg]

ip list -> у всех такие правила в концэ листинга:
03400 deny ip from any to any
65535 allow ip from any to any
последний чёто мне не нравится потомучто я в скрипт его не добовлял. и зачем тогда все правила если в конце цепочки всё разрешаем!???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт

options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее

[100kg]

пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт

options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее

ядро у меня собрано IPFIREWALL_DEFAULT_TO_ACCEPT но без ip_divert !!
explain once again!! ( не догнал хотел почетать в хандбуке но они ешё не перевели
я понимаю так пишим правила те которые нам нужны a всё остальное denay
add ip deny any to any!! и всё, но последнее add allow ip any to any ->> explain!!ну не понел !!

[Alex Keda]

Код: Выделить всё

IPFIREWALL_DEFAULT_TO_ACCEPT

без этого пересобери

[100kg]

add allow ip any to any!! - збрасывает все правила в rc.firewall и позволят всем и всё?

[Alex Keda]

у правил есть порядок. в соответствии с ним они и обрабатываются....

[100kg]

у правил есть порядок. в соответствии с ним они и обрабатываются....

слушай извини !! но тупой я !!
ели грузим модулём то по дефолту становитя add ip deny from any to any!!
а если припояить к ядру ipfirewall + IPFIREWALL_DEFAULT_TO_ACCEPT то будет add ip allow from any to any!!
так я к чему !!! к тому что мне кажется что если пакет не соответствует к правилaм то в конце скрипта он наткнётца на add ip deny from any to any(по твоей статье) и ipfw его заблокирует и пакет не доидёт до add ip allow from any to any, -
IPFIREWALL_DEFAULT_TO_ACCEPT это правило лишнее и нет смысла ставить если перед ним пакеты не соотвествуишии правилом будут блокироваться.

[Alex Keda]

есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды.
приходит пакет. сверху вниз по очереди, тупым перебором, его проверяют - подходит ли он под условие.
если подходит, то с ним делается то, что написано в этом правиле.

====
бывают пакеты (в любом, практически файрволле - хотя можно нормально настроить) которые не подходят ни под одно правило. вот для них и есть последнее правило - что с ними делать - отвергать или принимать.

[100kg]

пасиб вроде ясно!! но всё таки я куплю себе книгу про Firewalls !

[Roman]

есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды

Что за трубы (диверты...понятно) ???

[Alex Keda]

pipe

[Roman]

Понятно