Страница 1 из 1

IPFW блокирует BRIDGE

Добавлено: 2009-07-26 16:12:01
RAGNAR
Подскажите в чем грабли. IPFW блокирует BRIDGE , отключаю фаервол всё идет куда надо.
FreeBSD 7.2
rc.firewall


#!/bin/sh
ipfw="/sbin/ipfw"
LanIn="bridge0"
IpIn="192.168.0.9"

${ipfw} -f flush
#
${ipfw} add 100 check-state
#
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 300 deny ip from any to 127.0.0.0/8
${ipfw} add 400 deny ip from 127.0.0.0/8 to any
#
${fwcmd} add allow udp from 0.0.0.0 2054 to 0.0.0.0 // Это правило с точки зрения обычной работы IPFIREWALL не #имеет никакого смысла, но код сетевого моста будет использовать его для беспрепятственного прохождения #ARP-пакетов (что вам заведомо нужно делать).
#
#
${ipfw} add 2500 allow tcp from any to any established
#
${ipfw} add 2600 allow tcp from any to any via ${LanIn}
${ipfw} add 2700 allow udp from any to any via ${LanIn}
${ipfw} add 2800 allow icmp from any to any via ${LanIn}
#
${ipfw} add deny ip from any to any


добавил в sysctl.conf

net.link.bridge.ipfw=1
net.inet.ip.fw.one_pass=0

Re: IPFW блокирует BRIDGE

Добавлено: 2009-08-07 20:40:41
camelium
заменить

Код: Выделить всё

${fwcmd} add allow udp from 0.0.0.0 2054 to 0.0.0.0
на
${ipfw} add allow udp from 0.0.0.0 2054 to 0.0.0.0
заменить

Код: Выделить всё

${ipfw} add deny ip from any to any
на
${ipfw} add 65534 deny log ip from any to any
и будет в логах видно какое правило халтурит

Re: IPFW блокирует BRIDGE

Добавлено: 2009-08-07 21:31:11
Гость
rl1 имеет адрес 192.168.0.110/24
fxp0 имеет адрес 192.168.0.100/24
bridge0 - адрес не присвоен

#!/bin/sh -
ipfw="/sbin/ipfw"
LanIn="bridge0"

${ipfw} -f flush

${ipfw} add 10 allow mac-type arp // нужно чтобы мост работал походу вместо этого
//(${ipfw} add allow udp from 0.0.0.0 2054 to 0.0.0.0)

// А вот когда добавил эти два правила трафик пошел через мост и ipfw стал считать проход. пакеты
// как это с точки зрения безопасности?
" хотя в прицепе внутри локалки весь трафик разрешен, мост нужен для разгрузки сети к samba "
${ipfw} add 30 allow ip from any to any via rl1
${ipfw} add 40 allow ip from any to any via fxp0

${ipfw} add 100 check-state
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 300 deny ip from any to 127.0.0.0/8
${ipfw} add 400 deny ip from 127.0.0.0/8 to any

${ipfw} add 500 allow tcp from any to any established
${ipfw} add 600 allow tcp from any to any via ${LanIn}
${ipfw} add 700 allow udp from any to any via ${LanIn}
${ipfw} add 800 allow icmp from any to any via ${LanIn}
${ipfw} add 2650 deny icmp from any to any frag
${ipfw} add 2680 allow icmp from any to any icmptypes 0,8,11
65535 allow ip from any to any

ipfw -a list

00010 13 598 allow ip from any to any mac-type 0x0806 // видно на этих интерфейсах идет трафик
00030 86 13794 allow ip from any to any via rl1 // rl1 ; fxp0 ; bridge0
00040 1041 154511 allow ip from any to any via fxp0 //
00100 0 0 check-state
00200 130 7112 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 allow tcp from any to any established
00600 0 0 allow tcp from any to any via bridge0
00700 73 12777 allow udp from any to any via bridge0 //
00800 0 0 allow icmp from any to any via bridge0
02650 0 0 deny icmp from any to any frag
02680 0 0 allow icmp from any to any icmptypes 0,8,11
65535 3 375 deny ip from any to any

может кто не будь подскажет последовательность правил для увеличение быстродействия ipfw