Ворос по IPFW

[alex117]

У лисяры в статье по ipfw есть такой пункт:

# рубим траффик к частным сетям через внешний интерфейс

Код: Выделить всё

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}

Правильно ли я понимаю логику этой строчки, т.е запрещаем все пакеты из внешней подсети 10.0.0.0/8 к нашей, выходящие из интерфейса LanOut?
Тогда почему лисяра пишет траффик К частным сетям, а не ОТ?
Ведь написано же ip from 10.0.0.0/8 to any?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[harmless]

Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut

[alex117]

Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut

Т.е для пакетов, приходящих из вне на интерфейс нужно писать

Код: Выделить всё

.......out via ${iface}

,
а для исходящих из нашей сети через него

Код: Выделить всё

.......in via ${iface} ?

[harmless]

Логика хромает у вас.
Есть направления исходящее(out) и входящее(in) на интерфейсе.
Если у вас на одном интерфейсе пакеты входящие то на другом они уже будут исходящие!

[alex117]

я просто почитал полное описание по ipfw и еще больше запутался.

[harmless]

я просто почитал полное описание по ipfw и еще больше запутался.

Там в мане есть очень красивая схема - вот по ней все понятно

[FreeBSP]

пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222

Код: Выделить всё

(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)

ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2

# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in  via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24

# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24

# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in  via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24

# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24

# остальное впень
$ipfw add deny  ip from any to any

[alex117]

пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222

Код: Выделить всё

(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)

ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2

# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in  via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24

# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24

# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in  via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24

# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24

# остальное впень
$ipfw add deny  ip from any to any

Спасибо, теперь многое стало понятно, просто путался с интерфейсами - куда приходит, откуда выходит.
Проще разбираться стало когда нарисовал схему шлюза с двумя карточками.