forum.lissyara.su

Добавлено: **2009-01-17 5:33:23**

Всем доброго времени суток.
И так имеем проблему:

ipfw show
00100 7604  509736 allow ip from 192.168.2.1 to me dst-port 22
00200 8079 5227032 allow ip from me to 192.168.2.1 src-port 22
65200    0       0 pipe 65200 ip from any to 192.168.2.254
65300    0       0 pipe 65300 ip from 192.168.2.254 to any
65535 1502  190313 deny ip from any to any
ipfw pipe show
65200:  64.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
65300:  64.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail

/var/log/security

Код: Выделить всё

Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 out via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 out via le0

1. в результате скорость на 192.168.2.254 ~100кбайт/сек (сама порезка заметна, но непонятна)
2. и ещё, если добавить в 65200 в конец сторки out, а в 65300 in пакеты на 192.168.2.254
перестают бегать вообще.
3. Интересует почему по 1 правилу пакеты бегают и туда и обратно, то есть фактически можно использоваться одно.

Хотелось бы получить ответы на 3 этих вопроса.

Заранее извеняюсь если подобная тема уже была, хотелось бы её увидеть если есть такова ...

Добавлено: **2009-01-17 12:32:35**

это я бы сказал не проблема
а незнание работы фаервола

Добавлено: **2009-01-17 12:44:41**

Подскажи пожалуйста в чем ошибка ...

Добавлено: **2009-01-17 12:49:43**

Код: Выделить всё

65200    0       0 pipe 65200 ip from any to 192.168.2.254
65300    0       0 pipe 65300 ip from 192.168.2.254 to any

практически одно и тоже правило
поскольку нет интерфейса относительно которого оно считает(активируеться)
поэтому каждое считает два раза

уже это

Код: Выделить всё

Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65200 Pipe 65300 ICMP:8.0 192.168.2.254 192.168.2.1 out via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 in via le0
Jan 15 17:35:04 mysrv kernel: ipfw: 65300 Pipe 65200 ICMP:0.0 192.168.2.1 192.168.2.254 out via le0

должно заставить задуматься

Добавлено: **2009-01-17 12:51:29**

Это я уже понял, спасибо что сказал почему.
Ну вот незадача, когда добавляю in via IF & out via IF паакеты не бегают вообще
то есть вида
pipe 65200 ip from any to 192.168.2.254 out via le0
pipe 65300 ip from 192.168.2.254 to any in via le0
собственно почему ?

то есть вот элементарное правило на срабатует:

Код: Выделить всё

mysrv# ipfw show 
00100 30493  1829752 allow ip from 192.168.2.1 to me dst-port 22 
00200 39510 20709686 allow ip from me to 192.168.2.1 src-port 22 
64200     1       60 allow log ip from 192.168.2.254 to any in 
64300     0        0 allow log ip from any to 192.168.2.254 out 
65535 19892  1309590 deny ip from any to any

через время:

Код: Выделить всё

mysrv# ipfw show 
00100 30523  1832088 allow ip from 192.168.2.1 to me dst-port 22 
00200 39536 20713338 allow ip from me to 192.168.2.1 src-port 22 
64200    12      720 allow log ip from 192.168.2.254 to any in 
64300     0        0 allow log ip from any to 192.168.2.254 out 
65535 20076  1318090 deny ip from any to any

видно что не отрабатует аут аллов, пакеты идут почему-то в дени

Добавлено: **2009-01-17 12:53:16**

потому что вы нехотите видеть очевидно

берите в руки ручку
лист А4 и рисуйте
то что у вас в логе

может поймете...

Добавлено: **2009-01-17 12:59:07**

Неужели так трудно помочь, если Вы значете ?

forum.lissyara.su

freebsd 7.0, ipfw, pipe

freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe

Re: freebsd 7.0, ipfw, pipe