ipfw divert
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
blah
- проходил мимо
ipfw divert
скажите, что происходит с пакетом, после того как он задиверчен в natd? снова идет по всем правилам ipfw сверху вниз?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Mr Alter Ego
- сержант
- Сообщения: 238
- Зарегистрирован: 2007-07-12 13:06:02
- Откуда: Украина
- Контактная информация:
Re: ipfw divert
нет ...
пакет доходит до правила диверт, и далее уходит в нат. в мир.
остальные правила ... не обрабатываются!
работает по принцыпу - перебираем правила, пока не подойдет к нам по условию.
получается ... если диверт стоит первый, то пакет фум и ушел в нат. с ната аналогично назад.
я могу ошибаться ... извините конечно ... но помоему именно так
пакет доходит до правила диверт, и далее уходит в нат. в мир.
остальные правила ... не обрабатываются!
работает по принцыпу - перебираем правила, пока не подойдет к нам по условию.
получается ... если диверт стоит первый, то пакет фум и ушел в нат. с ната аналогично назад.
я могу ошибаться ... извините конечно ... но помоему именно так
Best Regards
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ipfw divert
http://www.lissyara.su/?id=1536
Примечание: Относительно DIVERT в MAN-е по IPFW присутствует присутствует некая двусмысленность, согласно MAN-у для пакета попавшего под правило с DIVERT дальнейший поиск прекращается, а что происходит с самим пакетом - неясно.
Экпериментально установлено, что в случае трансляции адресов, пакет прошедший через DIVERT-сокет, продолжает путь по правилам IPFW сразу после правила с DIVERT, имея переписаный (транслированный) IP в заголовке.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
Mr Alter Ego
- сержант
- Сообщения: 238
- Зарегистрирован: 2007-07-12 13:06:02
- Откуда: Украина
- Контактная информация:
Re: ipfw divert
то есть пакет таки проходит по остальным правилам, НОЭкпериментально установлено, что в случае трансляции адресов, пакет прошедший через DIVERT-сокет, продолжает путь по правилам IPFW сразу после правила с DIVERT, имея переписаный (транслированный) IP в заголовке.
он автоматически неможет ... подлежать обработке какого либо правила, так как он имеет другое "форматирование". на пакете висит другой адрес и возможно другие данные.
как я понял ...
Best Regards
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ipfw divert
Какое форматирование, о чём речь вообще?
1. Пакет пришёл
2. Пакет выходит
Подключим НАТ:
1. Пакет пришёл
1.5 Пакет преобразуется (Адрес и т.п., вобщем что нужно)
2. Пакет выходит
P.S. Есть опция sysctl какая-то, чтобы после DIVERT'a (НАТА) пакет не бежал по правилам дальше.
1. Пакет пришёл
2. Пакет выходит
Подключим НАТ:
1. Пакет пришёл
1.5 Пакет преобразуется (Адрес и т.п., вобщем что нужно)
2. Пакет выходит
P.S. Есть опция sysctl какая-то, чтобы после DIVERT'a (НАТА) пакет не бежал по правилам дальше.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
boroday
- проходил мимо
Re: ipfw divert
Код: Выделить всё
net.inet.ip.fw.one_pass: 0Код: Выделить всё
net.inet.ip.fw.one_pass: 1
Последний раз редактировалось Alex Keda 2007-10-25 15:43:03, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...
-
-cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: ipfw divert
1.не катит при написании статьи переменная была net.inet.ip.fw.one_pass=1boroday писал(а):net.inet.ip.fw.one_pass: 0
пакеты после диверта возвращаются на следующее по номеру правило.
net.inet.ip.fw.one_pass: 1
пакеты после диверта выходят из фаирвола.
2. а еще можно посмотреть сюда http://ipfw.ism.kiev.ua/dummynet.html
-
boroday
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2007-10-25 14:39:10
Re: ipfw divert
man ipfw
ага, это касается не диверта..
А в диверте
#man natd
Спасибо natd за наше счастливое детство.
Код: Выделить всё
SYSCTL VARIABLES
net.inet.ip.fw.one_pass: 1
When set, the packet exiting from the dummynet(4) pipe or from
ng_ipfw(4) node is not passed though the firewall again. Other-
wise, after an action, the packet is reinjected into the firewall
at the next rule.А в диверте
Код: Выделить всё
#man ipfw
Divert packets that match this rule to the divert(4) socket bound
to port port. The search terminates.Код: Выделить всё
After translation by natd, packets re-enter the firewall at the rule
number following the rule number that caused the diversion (not the
next rule if there are several at the same number).
Последний раз редактировалось Alex Keda 2007-10-25 15:43:35, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...
-
-cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: ipfw divert
На самом деле с NATD не такое счастливое, я убил неделю пытаясь использовать все опции которые возможны, но больше всего добили -proxy, кстати там, насколько помню, с правилами все по-другому.boroday писал(а):Спасибо natd за наше счастливое детство.
Вобщем NATD вещь в себе.
-
Bugaev
- мл. сержант
- Сообщения: 129
- Зарегистрирован: 2011-08-11 23:10:32
Re: ipfw divert
подскажите плиз, какая будет строчка команды ipfw, со следующей задачей:
есть 2 сетки - a и b. сетка a имеет возможность через другой шлюз в сетку b. на машине поднят апач. все кто смотрит сайт из сетки b ипы реальные видны, а кто из сетки a ип шлюза в сеть b. как сделать так чтобы из сети a перенаправлялись в a, чтобы видеть реальные ип.
чтото типа такого.
есть 2 сетки - a и b. сетка a имеет возможность через другой шлюз в сетку b. на машине поднят апач. все кто смотрит сайт из сетки b ипы реальные видны, а кто из сетки a ип шлюза в сеть b. как сделать так чтобы из сети a перенаправлялись в a, чтобы видеть реальные ип.
чтото типа такого.