Подскажите плиз/
Я правильно понимаю если эта опция установлена ( у меня там сейчас пусто)/
/etc/sysctl.conf
Код: Выделить всё
net.inet.ip.fw.one_pass: 1
Если это не прописано
Код: Выделить всё
net.inet.ip.fw.one_pass: 1
ipfw
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
ipfw
Доброго всем вечера/
Подскажите плиз/
Я правильно понимаю если эта опция установлена ( у меня там сейчас пусто)/
/etc/sysctl.conf
ТО каждый пакет, проходящий через фаерволл должен быть обработан правилом (запрещающим, либо разрешающим) только один раз. Если пакет, проходя по правилам фаерволла, попал под разрешающее правило, он выходит из фаерволла и следует далее по сети. Если попал под запрещающее – он будет уничтожен системой и перестанет существовать.
Если это не прописано
То правила обрабатываются дважды?
Подскажите плиз/
Я правильно понимаю если эта опция установлена ( у меня там сейчас пусто)/
/etc/sysctl.conf
Если это не прописано
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw
эта установка по умолчанию в 1.
действует она для подсистем:
- dymmynet pipe/queue
- nat
- reass
- divert
- netgraph
- ngtee
И выражается это в том, что если one_pass=1 и трафик выходит из какой-нибудь из вышеуказаных подсистем после обработки там, то к нему автоматически применяется allow как если бы было специальное правидо allow all from any to any.
Если же one_pass=0 то трафик возврашается в фаервол и начинает проходить по всем оставшимся правилам до совпадения.
действует она для подсистем:
- dymmynet pipe/queue
- nat
- reass
- divert
- netgraph
- ngtee
И выражается это в том, что если one_pass=1 и трафик выходит из какой-нибудь из вышеуказаных подсистем после обработки там, то к нему автоматически применяется allow как если бы было специальное правидо allow all from any to any.
Если же one_pass=0 то трафик возврашается в фаервол и начинает проходить по всем оставшимся правилам до совпадения.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
Spook1680
- лейтенант
- Сообщения: 996
- Зарегистрирован: 2009-07-28 12:26:09
Re: ipfw
Понятно тогда вопрос немного отходящий от этой темы.terminus писал(а):эта установка по умолчанию в 1.
действует она для подсистем:
- dymmynet pipe/queue
- nat
- reass
- divert
- netgraph
- ngtee
И выражается это в том, что если one_pass=1 и трафик выходит из какой-нибудь из вышеуказаных подсистем после обработки там, то к нему автоматически применяется allow как если бы было специальное правидо allow all from any to any.
Если же one_pass=0 то трафик возврашается в фаервол и начинает проходить по всем оставшимся правилам до совпадения.
Вот кусок правил который хочу в фаэрво запихнуть.
Насколько я понимаю ограничение скорости у меня будет от сервера к пользователю.
Правило №49 позволит распределить pipe 27 на хостах с 64 по 127!? - этого мы добиваеся благодоря
( 192.168.0.0/26 ) маска в таком варианте будет 255.255.255.192
Или я заблуждаюсь
Код: Выделить всё
${fwcmd} pipe 27 config bw 900Kbit/s
${fwcmd} queue 27 config pipe 27 weight 50 mask dst-ip 0x00000000
${fwcmd} add 40 skipto 50 ip from any to 192.168.0.2
${fwcmd} add 41 skipto 50 ip from any to 192.168.0.60
${fwcmd} add 49 queue 27 ip from any to 192.168.0.0/26
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "
-
terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw
Это 192.168.0.0/26 значит диапазон:Правило №49 позволит распределить pipe 27 на хостах с 64 по 127!?
Код: Выделить всё
192.168.0.0/26
Broadcast: 192.168.0.63
HostMin: 192.168.0.1
HostMax: 192.168.0.62Код: Выделить всё
192.168.0.64/26
Broadcast: 192.168.0.127
HostMin: 192.168.0.65
HostMax: 192.168.0.126Код: Выделить всё
queue 27 config pipe 27 weight 50 mask dst-ip 0x000000ffМодель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.