IPFW пакеты не в себя

Rostov114

Здравствуйте.

Имеется машинка под управлением правильной ОС версии 8.0, на ней так же имеется 4 интерфейса один из них смотрит в мир ( естественно на этой же машинке NAT ).

Суть проблемы, имеется правило(а)

Код: Выделить всё

# Разрешить все транзитные направления не в себя
${fwcmd} add 260 allow all from any to not me
${fwcmd} add 270 allow all from any to not me6

Они как бы должны пропускать все пакеты, которые не в саму машинку идут ( т.е. машинка по своим IP не должна отвечать ).

Но как показала практика

Код: Выделить всё

[root@core-r2 /root]#ipfw list
00260 allow ip from any to not me
00270 allow ip from any to not me6
65535 deny ip from any to any

Даже при таком наборе правил машинка дает подключиться к SSH на любом своем адресе.

Где я придурок?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hi · Непрочитанное сообщение hi » 2012-01-08 10:10:50

смысл правила с me6 ускользает, прочитайте еще раз man ipfw про me и me6

Rostov114

Есть так же два специальных слова - any, означающее любой адрес (аналогично 0.0.0.0/0) и me, означающее любой из адресов, принадлежащих локальной системе.

С оппнета.

me - matches any IP address configured on an interface in the system.
me6 - matches any IPv6 address configured on an interface in the system.

Из man.

me6 - тут для IPv6 трафика.

hi · Непрочитанное сообщение hi » 2012-01-08 11:41:37

man-ы на opennet устарели, закройте их

предлагаю вам провести сеанс медитации над конструкцией not me6, например not me6 == yes me4

Rostov114

hi писал(а):man-ы на opennet устарели, закройте их

предлагаю вам провести сеанс медитации над конструкцией not me6, например not me6 == yes me4

Медитировал, удалял me6. Не помогло.

И да, там же 2 правила.
Одно исключает другое.

not me4 == yes me6
not me6 == yes me4

Сейчас смотрел на другой примерно такой же роутер, у него та же болезнь.

Удаление me6правила не помогло.

Rostov114

Код: Выделить всё

[root@core-r2 /root]#ipfw list
01270 allow ip from any to not me6
65535 deny ip from any to any

Довел до такого, работает.

Удалил для IPv6 правила - вылечилось.

Вопрос тогда изменяется, как через IPFW сделать нормальную работу IPv4 и IPv6?

forum.lissyara.su

IPFW пакеты не в себя

IPFW пакеты не в себя

Услуги хостинговой компании Host-Food.ru

Re: IPFW пакеты не в себя

Re: IPFW пакеты не в себя

Re: IPFW пакеты не в себя

Re: IPFW пакеты не в себя

Re: IPFW и IPv6