IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

IPFW

Непрочитанное сообщение maradona » 2008-06-27 11:01:07

делал if_bridfge на 7.0 при написании правил возник такой вопрос почему когда есть вот такие правила для 2 уровня:

Код: Выделить всё

${fwcmd} add allow all from any to any MAC 00:17:31:a9:e9:9b 00:0c:42:1c:09:bd   
${fwcmd} add allow all from any to any MAC 00:0c:42:1c:09:bd 00:17:31:a9:e9:9b 
ими я разрешаю трафик на 2 уровне от машины через бридж к шлюзу, и когда пишу правило вида:

Код: Выделить всё

${fwcmd} add allow ip from $mylan to any 80 keep-state
все работает, а когда пишу в виде

Код: Выделить всё

${fwcmd} add allow ip from $mylan to any 80 via rl0 keep-state
где rl0 входит в бридж, правило не работает, почему не пашет параметр via? аналогично не работает если указывать второй интерфейс бриджа или указывать bridge0, и еще если убрать правила для 2 уровня параметр via -начинает работать как обычно, почему?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-06-27 11:04:41

чего говорит ежели нажать?

Код: Выделить всё

sysctl -a | grep layer2
Z301171463546 - можно пожертвовать мне денег

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-27 11:08:29

Код: Выделить всё

sysctl -a | grep layer2
ничего не говорит...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-06-27 11:13:16

Код: Выделить всё

ipfw add 65532 allow ip from any to any layer2 via rl0
ipfw add 65533 allow ip from any to any layer2
Z301171463546 - можно пожертвовать мне денег

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-27 11:18:37

но у меня есть правило такое:

Код: Выделить всё

${fwcmd} add deny log all from any to any layer2
т.е. разрашаю трафик только от своих MAC к шлюзу - а остальние блокирую

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-27 11:20:59

значит без разрешения на 2-м уровне вида:

Код: Выделить всё

layer2 via rl0
на 3-м уровне параметр via работать не будет - я правильно понял?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-06-27 11:29:59

вообще должен

Код: Выделить всё

case O_VIA:
                            {
                                char const *s;
                                ipfw_insn_if *cmdif = (ipfw_insn_if *)cmd;

                                if (cmd->opcode == O_XMIT)
                                        s = "xmit";
                                else if (cmd->opcode == O_RECV)
                                        s = "recv";
                                else /* if (cmd->opcode == O_VIA) */
                                        s = "via";
                                if (cmdif->name[0] == '\0')
                                        printf(" %s %s", s,
                                            inet_ntoa(cmdif->p.ip)); /* inet_ntoa() - по-этому должен, хоть убей */
                                else
                                        printf(" %s %s", s, cmdif->name);

                                break;
                            }
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW

Непрочитанное сообщение hizel » 2008-06-27 11:38:11

Код: Выделить всё

sysctl -a | grep ether
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-27 11:42:43

вот конфиг если ставлю via правила не работают:

Код: Выделить всё

fwcmd="/sbin/ipfw"
mylan="192.168.1.203, 192.168.1.201, 192.168.1.202, 192.168.1.204"
${fwcmd} -f flush
${fwcmd} add check-state
${fwcmd} add allow ip from any to any
${fwcmd} add allow all from any to any layer2 mac-type arp
${fwcmd} add allow all from any to any MAC 00:17:31:a9:e9:9b 00:0c:42:1c:09:bd
${fwcmd} add allow all from any to any MAC 00:0c:42:1c:09:bd 00:17:31:a9:e9:9b
${fwcmd} add allow all from any to any MAC 00:0e:2e:a9:6f:9e 00:0c:42:1c:09:bd
${fwcmd} add allow all from any to any MAC 00:0c:42:1c:09:bd 00:0e:2e:a9:6f:9e
${fwcmd} add allow all from any to any MAC 00:0c:t6:e4:4c:6h 00:0c:42:1c:09:bd
${fwcmd} add allow all from any to any MAC 00:0c:42:1c:09:bd 00:14:t6:e4:4c:6h
${fwcmd} add allow all from any to any MAC 00:0e:2w:a9:2e:4r 00:0c:42:1c:09:bd
${fwcmd} add allow all from any to any MAC 00:0c:42:1c:09:bd 00:0e:2w:a9:2e:4r
${fwcmd} add allow all from any to any MAC 00:14:t6:e4:4c:6h 00:0e:2e:a9:6f:9e
${fwcmd} add allow all from any to any MAC 00:0e:2e:a9:6f:9e 00:14:t6:e4:4c:6h
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 240.0.0.0/4
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny log icmp from any to 255.255.255.255
${fwcmd} add deny ip from 169.254.0.0/16 to any
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow all from 192.168.1.2 to any 80 keep-state
${fwcmd} add allow udp from 192.168.1.2 to any 53 keep-state
${fwcmd} add allow udp from any to any 123 keep-state
${fwcmd} add allow tcp from $mylan to any 21
${fwcmd} add allow tcp from any 20 to $mylan
${fwcmd} add allow icmp from any to any icmptypes 0,8,11
${fwcmd} add allow tcp from $mylan to me 22 keep-state
${fwcmd} add allow tcp from $mylan to any 110,143,25,995 keep-state
${fwcmd} add allow tcp from $mylan to any 5190 keep-state
#${cmd} add allow icmp from 192.168.1.2 to any via bridge0 keep-state - вот такое уже не пашет
${fwcmd} add deny log all from any to any layer2
${fwcmd} add deny all from any to any
Последний раз редактировалось maradona 2008-06-27 11:58:07, всего редактировалось 1 раз.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-06-27 11:46:55

hizel писал(а):

Код: Выделить всё

sysctl -a | grep ether
Z301171463546 - можно пожертвовать мне денег

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-27 12:03:48

Код: Выделить всё

[root@lamer /usr/home/putin]# sysctl -a | grep ether
kern.random.sys.harvest.ethernet: 1
net.link.ether.inet.log_arp_permanent_modify: 1
net.link.ether.inet.log_arp_movements: 1
net.link.ether.inet.log_arp_wrong_iface: 1
net.link.ether.inet.proxyall: 0
net.link.ether.inet.useloopback: 1
net.link.ether.inet.maxtries: 5
net.link.ether.inet.max_age: 1200
net.link.ether.ipfw: 1
[root@lamer /usr/home/putin]#

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-06-27 12:27:52

Код: Выделить всё

${cmd} add allow log icmp from 192.168.1.2 to any via bridge0 keep-state
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW

Непрочитанное сообщение hizel » 2008-06-27 12:28:42

net.link.bridge.pfil_member Set to 1 to enable filtering on the incoming
and outgoing member interfaces, set to 0 to
disable it.
а эту опцию включали в sysctl ?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-29 12:14:12

да включено:

Код: Выделить всё

[root@lamer /usr/home/putin]# sysctl -a | grep bridge
net.link.bridge.ipfw: 1
net.link.bridge.log_stp: 0
net.link.bridge.pfil_local_phys: 0
net.link.bridge.pfil_member: 1
net.link.bridge.pfil_bridge: 1
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_onlyip: 0

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2008-06-29 13:51:12

путин на хосте ламер...
интересно...
Убей их всех! Бог потом рассортирует...

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-29 14:01:45

lissyara писал(а):путин на хосте ламер...
интересно...
а мне так нравится.. :smile:
короче нашел я причину почему не работает при моих "фантастических" правилах фаера параметр via
было вот так:

Код: Выделить всё

[root@lamer /usr/home/putin]# sysctl -a | grep bridge
net.link.bridge.ipfw: 1
net.link.bridge.log_stp: 0
net.link.bridge.pfil_local_phys: 0
net.link.bridge.pfil_member: 1
net.link.bridge.pfil_bridge: 1
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_onlyip: 0
методом военного тыка зделал так:

Код: Выделить всё

net.link.bridge.ipfw: 1
net.link.bridge.log_stp: 0
net.link.bridge.pfil_local_phys: 0
net.link.bridge.pfil_member: 0
net.link.bridge.pfil_bridge: 0
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_onlyip: 0
теперь via bridge0 - работает!
Последний раз редактировалось maradona 2008-06-29 14:04:03, всего редактировалось 1 раз.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: IPFW

Непрочитанное сообщение maradona » 2008-06-29 14:03:22

короче для via bridge0 критичен именно вот это значение:

Код: Выделить всё

net.link.bridge.pfil_member: 0