Страница 1 из 1
IPFW пакеты не в себя
Добавлено: 2012-01-07 23:05:29
Rostov114
Здравствуйте.
Имеется машинка под управлением правильной ОС версии 8.0, на ней так же имеется 4 интерфейса один из них смотрит в мир ( естественно на этой же машинке NAT ).
Суть проблемы, имеется правило(а)
Код: Выделить всё
# Разрешить все транзитные направления не в себя
${fwcmd} add 260 allow all from any to not me
${fwcmd} add 270 allow all from any to not me6
Они как бы должны пропускать все пакеты, которые не в саму машинку идут ( т.е. машинка по своим IP не должна отвечать ).
Но как показала практика
Код: Выделить всё
[root@core-r2 /root]#ipfw list
00260 allow ip from any to not me
00270 allow ip from any to not me6
65535 deny ip from any to any
Даже при таком наборе правил машинка дает подключиться к SSH на любом своем адресе.
Где я придурок?
Re: IPFW пакеты не в себя
Добавлено: 2012-01-08 10:10:50
hi
смысл правила с me6 ускользает, прочитайте еще раз man ipfw про me и me6
Re: IPFW пакеты не в себя
Добавлено: 2012-01-08 10:45:45
Rostov114
Есть так же два специальных слова - any, означающее любой адрес (аналогично 0.0.0.0/0) и me, означающее любой из адресов, принадлежащих локальной системе.
С оппнета.
me - matches any IP address configured on an interface in the system.
me6 - matches any IPv6 address configured on an interface in the system.
Из man.
me6 - тут для IPv6 трафика.
Re: IPFW пакеты не в себя
Добавлено: 2012-01-08 11:41:37
hi
man-ы на opennet устарели, закройте их
предлагаю вам провести сеанс медитации над конструкцией not me6, например not me6 == yes me4
Re: IPFW пакеты не в себя
Добавлено: 2012-01-08 11:49:39
Rostov114
hi писал(а):man-ы на opennet устарели, закройте их
предлагаю вам провести сеанс медитации над конструкцией not me6, например not me6 == yes me4
Медитировал, удалял me6. Не помогло.
И да, там же 2 правила.
Одно исключает другое.
not me4 == yes me6
not me6 == yes me4
Сейчас смотрел на другой примерно такой же роутер, у него та же болезнь.
Удаление me6правила не помогло.
Re: IPFW и IPv6
Добавлено: 2012-01-08 12:15:21
Rostov114
Код: Выделить всё
[root@core-r2 /root]#ipfw list
01270 allow ip from any to not me6
65535 deny ip from any to any
Довел до такого, работает.
Удалил для IPv6 правила - вылечилось.
Вопрос тогда изменяется, как через IPFW сделать нормальную работу IPv4 и IPv6?