ipfw by lissyra

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

ipfw by lissyra

Непрочитанное сообщение 100kg » 2006-05-24 16:14:08

ip list -> у всех такие правила в концэ листинга:
03400 deny ip from any to any
65535 allow ip from any to any
последний чёто мне не нравится :( потомучто я в скрипт его не добовлял. и зачем тогда все правила если в конце цепочки всё разрешаем!???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-24 19:55:08

пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт :)
http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
Убей их всех! Бог потом рассортирует...

100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

Непрочитанное сообщение 100kg » 2006-05-24 21:35:22

lissyara писал(а):пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт :)
http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
ядро у меня собрано IPFIREWALL_DEFAULT_TO_ACCEPT :) но без ip_divert !!
explain once again!! :(( не догнал хотел почетать в хандбуке но они ешё не перевели :(
я понимаю так пишим правила те которые нам нужны a всё остальное denay
add ip deny any to any!! и всё, но последнее add allow ip any to any ->> explain!!ну не понел !!
:oops:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-24 21:38:36

Код: Выделить всё

IPFIREWALL_DEFAULT_TO_ACCEPT
без этого пересобери
Убей их всех! Бог потом рассортирует...

100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

Непрочитанное сообщение 100kg » 2006-05-24 21:51:47

add allow ip any to any!! - збрасывает все правила в rc.firewall и позволят всем и всё?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-24 22:29:57

у правил есть порядок. в соответствии с ним они и обрабатываются....
Убей их всех! Бог потом рассортирует...

100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

Непрочитанное сообщение 100kg » 2006-05-24 23:24:22

lissyara писал(а):у правил есть порядок. в соответствии с ним они и обрабатываются....
слушай извини !! но тупой я !! :?
ели грузим модулём то по дефолту становитя add ip deny from any to any!!
а если припояить к ядру ipfirewall + IPFIREWALL_DEFAULT_TO_ACCEPT то будет add ip allow from any to any!!
так я к чему !!! к тому что мне кажется что если пакет не соответствует к правилaм то в конце скрипта он наткнётца на add ip deny from any to any(по твоей статье) и ipfw его заблокирует и пакет не доидёт до add ip allow from any to any, -
IPFIREWALL_DEFAULT_TO_ACCEPT это правило лишнее и нет смысла ставить если перед ним пакеты не соотвествуишии правилом будут блокироваться.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-05-24 23:55:53

есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды.
приходит пакет. сверху вниз по очереди, тупым перебором, его проверяют - подходит ли он под условие.
если подходит, то с ним делается то, что написано в этом правиле.

====
бывают пакеты (в любом, практически файрволле - хотя можно нормально настроить) которые не подходят ни под одно правило. вот для них и есть последнее правило - что с ними делать - отвергать или принимать.
Убей их всех! Бог потом рассортирует...

100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

Непрочитанное сообщение 100kg » 2006-05-25 0:58:59

пасиб :roll: вроде ясно!! но всё таки я куплю себе книгу про Firewalls !

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-06-08 18:28:32

lissyara писал(а):есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды
Что за трубы (диверты...понятно) ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-08 18:59:51

pipe
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-06-08 20:27:28

Понятно :)