forum.lissyara.su

Добавлено: **2006-12-14 15:03:19**

невидел интерфейсов в таких местах.
есть интересный вариант - в dns есть машина с таким именем. правило прокатит но оказыватсья будет как IP а не имя.

Добавлено: **2006-12-25 13:22:11**

Не буду создавать новую тему.

Нужно одним правилом выпустить что-нибудь наружу. :-)

Код: Выделить всё

00100   0      0 allow icmp from МОЙ_ИП to any out recv fxp1 xmit rl0 icmptypes 8

Правило не срабытывает, хотя условия совпадают.
IP-Адрес белый и натить не нужно.
Смысл правила - исходящий пакет, полученный через fxp1 и отправленный через rl0

Где грабли, нехочу 2 правила.

Добавлено: **2006-12-25 13:36:47**

Судя по докам нифга не получится. Сперва его нужно принять на fxp1, только потом это правило. :-)

Добавлено: **2006-12-26 16:16:05**

Кто знает, с чем это может быть связана такая обработка IPFW.

Код: Выделить всё

FreeBSD 5.5 + options BRIDGE
rl0 - внешний интерфейс
fxp1 - DMZ

Я всегда полагал, что пакет в ipfw сначала входит, потом выходит.
Т.образом для каждого пакета необходимы 2 правила in и out, иногда можно заменить на via, без указания входа/выхода.
Я пингую DMZ с внешнего IP и что я вижу? Пакет вошёл, а правила для выхода ему вообще не нужны.

Код: Выделить всё

00100    59     4836 count log logamount 100 icmp from any to any

Код: Выделить всё

Dec 26 16:05:31 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 16:05:31 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 16:05:31 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 16:05:32 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 16:05:32 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 16:05:32 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 16:05:33 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 16:05:33 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 16:05:33 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Посоветуете застрелиться?

Должно же быть так:
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 out via fxp1
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 16:05:34 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Добавлено: **2006-12-26 16:29:39**

Код: Выделить всё

ipfw list

давай

Добавлено: **2006-12-26 16:32:45**

Да list тебе нафиг, первая строка всё фиксирует.

Код: Выделить всё

00100    59     4836 count log logamount 100 icmp from any to any

я почему так за это переживаю, у меня трафик считается на выходе. А как его посчитать теперь?

Добавлено: **2006-12-26 16:38:42**

она тока фиксирует. А по каким правилам - дальше проверяется.
ПРи чём тут траффик?

Добавлено: **2006-12-26 16:44:05**

lissyara писал(а):она тока фиксирует. А по каким правилам - дальше проверяется.
ПРи чём тут траффик?

Тогда почему она не фиксирует? По точно такому же принципу правила на выход не работают.

Просто НУЛЬ байтиков.
Траффик считаю через ipacctd и только точно переданный пользователям или в DMZ. Заблокированный(не нужный) я не считаю. Дело не в траффике, передалаю, если что. НЕпонимаю как так можеь быть.

Добавлено: **2006-12-26 17:13:13**

Смотри сюда:
fxp0 - внутренний интерфейс
Изнутри всё путём отрабатывает.

Код: Выделить всё

Dec 26 17:11:10 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 17:11:10 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 17:11:10 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 17:11:11 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 17:11:11 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 17:11:11 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 17:11:12 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 17:11:12 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 17:11:12 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 17:11:13 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 17:11:13 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 17:11:13 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 17:11:16 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 in via fxp0
Dec 26 17:11:16 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 out via fxp1
Dec 26 17:11:16 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 in via fxp1
Dec 26 17:11:16 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 out via fxp0

Dec 26 17:11:17 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 in via fxp0
Dec 26 17:11:17 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 out via fxp1
Dec 26 17:11:17 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 in via fxp1
Dec 26 17:11:17 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 out via fxp0

Dec 26 17:11:18 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 in via fxp0
Dec 26 17:11:18 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 out via fxp1
Dec 26 17:11:18 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 in via fxp1
Dec 26 17:11:18 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 out via fxp0

Dec 26 17:11:19 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 in via fxp0
Dec 26 17:11:19 kernel: ipfw: 100 Count ICMP:8.0 192.168.2.4 82.208.77.77 out via fxp1
Dec 26 17:11:19 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 in via fxp1
Dec 26 17:11:19 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 192.168.2.4 out via fxp0

Добавлено: **2006-12-26 19:03:06**

В итоге отказался от:
options BRIDGE в ядре.
Сделал
device if_bridge + настройки другие для него.
Всё путём. Стало нормально.

Код: Выделить всё

Dec 26 19:00:29 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 19:00:29 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 out via fxp1
Dec 26 19:00:29 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 19:00:29 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 19:00:30 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 19:00:30 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 out via fxp1
Dec 26 19:00:30 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 19:00:30 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 19:00:31 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 19:00:31 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 out via fxp1
Dec 26 19:00:31 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 19:00:31 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Dec 26 19:00:32 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 in via rl0
Dec 26 19:00:32 kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.77 out via fxp1
Dec 26 19:00:32 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 in via fxp1
Dec 26 19:00:32 kernel: ipfw: 100 Count ICMP:0.0 82.208.77.77 212.92.160.82 out via rl0

Разве я не гений?

Добавлено: **2006-12-26 23:55:16**

ты бы про бриджи лучше накатал мануальчик

а то тема интересная...

Добавлено: **2006-12-27 11:12:43**

В инете нормальные есть описалова, я по ним настроил за 5 минут + 30 ядро пересобирал.

Добавлено: **2006-12-27 13:43:37**

Алилуйя! всем Сейла Лису зоргу dikens3 и тд HI!

Давно не подрубался к инету

смотрю без меня тут тема расширилась

бум подгружать и вникать
Да кста Лис на цел 900 256 оперы 9гATA + 250Sata(FTP+Apaher+Suid) все летает

Надо попробовать собрать на сотом 64 опера маршрутизатор +ipfw

Да вот и вопрос в тему

Вот мня спросили что лучше взять old pc и его настроить под фряхой (как я понял спецов в фирме по ней нету и будут вызывать за $)для маршрутизации и главное IPWF или купить отдельный ПК +Win2003 + ISA

$$$

Я же посоветовал при таком раскладе купить какой-нибудь хардовый FireWall Хоть D-Link уж с Web мордой иль SNTP разберутся их спецы

(И если есть опыт по покупки хардовых посоветуй какие модели \фирмы лучше брать

)

Что скажешь? да кста вот тоды и мой вопрос насколько качественно отличается хардовай фаер от программного например во фряхе IPFW? (Вот токо ненадо типа чем качественней программер тем круче фаер

) Или так че надежней

Добавлено: **2006-12-27 13:57:27**

НИКОГДА, НИКОГДА не упоминай при мне DLINK.
Виснет, глючит.
Есть VPN сети, сделанные с помощью DLINK. Замечательно умирают. Админы вешаются.

Из железок бери Cisco и не парься, нет денег, тогда в чём лучше понимает тот, кто будет это настраивать или поддерживать.

отдельный ПК +Win2003 + ISA
отдельный ПК +FREEBSD + IPFW(PF)

Добавлено: **2006-12-27 15:13:11**

НИКОГДА, НИКОГДА не упоминай при мне DLINK.
Виснет, глючит.

Согласен

но денег у них нетути

от 3Com есть что либо хардв фаер?
Че придложить то можешь а то НИКОГДААааа да НИКОГДАааа

Что скажешь? да кста вот тоды и мой вопрос насколько качественно отличается хардовай фаер от программного например во фряхе IPFW? (Вот токо ненадо типа чем качественней программер тем круче фаер ) Или так че надежней

на этот вопрос ответо не слышу

да и глянь сюды http://forum.lissyara.su/viewtopic.php?t=1895
мож че посоветуешь?

Добавлено: **2006-12-27 15:37:37**

1. Сам выбирай. Комп или хард фаер.
2. На FreeBSD 6 не перешёл, 5.5. прикалывает. :-)

Добавлено: **2006-12-27 16:01:13**

1. Сам выбирай. Комп или хард фаер.

Жаль незнаешь про хард фаеры

но ничего учится как говорится
и еще раз учится

2. На FreeBSD 6 не перешёл, 5.5. прикалывает.

Это к чему ответ прикрутить

так просто сказанул

Добавлено: **2006-12-27 16:20:50**

Это было по поводу ГЛЯНЬ СЮДА.

Добавлено: **2006-12-27 23:02:49**

Народ, дико извиняюсь. тут был пост Zorg`a я его случайно снёс, вместо спама

Хорошо в кэше остался

Zorg писал(а):Привет! не знаю у кого как, но действительно слышу много отрицательного о DLINK, хотя сам использую эту продукцию и достаточно интенсивно, например свитчи: DES-1026G - работает 4 года не выключаясь (забиты все порты) ни разу не завис
DGS-1216T - работает 1 год, тоже ни одного зависания.
DES-1016D - работает 4 года ни одного зависания.
DES-2110 - полгода, ни одного зависания
DES-3350SR - полгода ни одного зависания
DES-3526 - 3 штуки - 1 год ни одного зависания
DGS-3312SR объединён в стек с DES-3226S - 1 год ни одного зависания
DGS-3324SR - 1,5 года ни одного зависания
DFL-700 - 4 штуки - работают 1 год ни одного зависания.
DGS-1005D - рабоатет 1 год ни одного зависания
DGS-1008D - работал 2 месяца, зависал каждый день и по нескольку раз.
Использовал так же Интернет шлюзы, действительно виснут очень часто. Очень часто проблема с питанием. ТАк же использоватл принтсервера, та же проблема очень часто нужно перезагружать, хотя некоторые перезагружаешь раз в квартал, другие же презагружаешь несколько раз в неделю, но как показал опыт действительно чаще всего проблема в питании. Например гигабитный неуправляемый свитч DGS-1008D перезаргружается вообще сам - проблема питания, меняешь блок питания на более мощный и проблема исчезает. ПОэтому меня действительно удивляет когда говорят что имеют проблемы с зависанием этой техники.
По поводу её управления, что могу сказать действительно управлять лучше Cisco, чем Dlink, там проще и понятнее, тут же много чего на кручено, но чаще всего этот функционал не нужен или мало применим. да и вообще это долгий разговор.
Их хардовых фаеров у Длинка мона брать тока DFL-700 или DFL-200 абсолютно одинаковые железки, различаются тока производительностью, все остальные (которые ниже) действительно фигня, но зато и стоят дешевле!!!
Выбирать всё равно пользователю, а спорит мона долго!

Добавлено: **2006-12-27 23:58:39**

ну вот так всегда!!
Блин я так старался!

Повторить уже не смог бы!

Это был вариант спама без ссылок!! то что ты просил оставить посмотреть, а сам как все!

!

Добавлено: **2006-12-28 0:17:12**

спам-то я уже посмотрел....
=======
кстати - смысла не понимаю... ни линков, ничего...

Добавлено: **2006-12-28 0:22:56**

а чёрт их поймёт! я обычно всё такое удаляю сразу, смотрю тока откуда и как пришло, так для интереса, вдруг чего интересное увижу!

Добавлено: **2006-12-28 0:27:48**

токачто, кстати, удалил - регистрироваться научились уроды....
и текст грамотный... Я понял-то не сразу, что это спам.

Добавлено: **2006-12-28 0:35:20**

да уж уроды и есть уроды!!

Добавлено: **2006-12-28 10:21:02**

zorg биг сенг я тут посмотрю на сайте д линка
Да вот еще Как лучше сделать
есть 2 дома меж ними надо сделать связь что лучше сделать
1) купить 2 свича с 1 Гб портом (по меди) и их связать
2) 2 старых пк с 1 Гб карточкой + фряха =маршрутизаторы и их связать по 1г лан
3) А х его знает как

Да и что то из команд по IPFW этот посмт медленно превращается в черт знает что

Ну да ладно хорошие люди поговорят поговорят да и выпьют

С наступающим!

forum.lissyara.su

Команды IPFW