Страница 1 из 1
ipfw by lissyra
Добавлено: 2006-05-24 16:14:08
100kg
ip list -> у всех такие правила в концэ листинга:
03400 deny ip from any to any
65535 allow ip from any to any
последний чёто мне не нравится
потомучто я в скрипт его не добовлял. и зачем тогда все правила если в конце цепочки всё разрешаем!???
Добавлено: 2006-05-24 19:55:08
Alex Keda
пакет выпадает из файрволла по
первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт
http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
Добавлено: 2006-05-24 21:35:22
100kg
lissyara писал(а):пакет выпадает из файрволла по
первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт
http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
ядро у меня собрано IPFIREWALL_DEFAULT_TO_ACCEPT
но без ip_divert !!
explain once again!!
( не догнал хотел почетать в хандбуке но они ешё не перевели
я понимаю так пишим правила те которые нам нужны a всё остальное denay
add ip deny any to any!! и всё, но последнее add allow ip any to any ->> explain!!ну не понел !!
Добавлено: 2006-05-24 21:38:36
Alex Keda
Добавлено: 2006-05-24 21:51:47
100kg
add allow ip any to any!! - збрасывает все правила в rc.firewall и позволят всем и всё?
Добавлено: 2006-05-24 22:29:57
Alex Keda
у правил есть порядок. в соответствии с ним они и обрабатываются....
Добавлено: 2006-05-24 23:24:22
100kg
lissyara писал(а):у правил есть порядок. в соответствии с ним они и обрабатываются....
слушай извини !! но тупой я !!
ели грузим модулём то по дефолту становитя add ip deny from any to any!!
а если припояить к ядру ipfirewall + IPFIREWALL_DEFAULT_TO_ACCEPT то будет add ip allow from any to any!!
так я к чему !!! к тому что мне кажется что если пакет не соответствует к правилaм то в конце скрипта он наткнётца на add ip deny from any to any(по твоей статье) и ipfw его заблокирует и пакет не доидёт до add ip allow from any to any, -
IPFIREWALL_DEFAULT_TO_ACCEPT это правило лишнее и нет смысла ставить если перед ним пакеты не соотвествуишии правилом будут блокироваться.
Добавлено: 2006-05-24 23:55:53
Alex Keda
есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды.
приходит пакет. сверху вниз по очереди, тупым перебором, его проверяют - подходит ли он под условие.
если подходит, то с ним делается то, что написано в этом правиле.
====
бывают пакеты (в любом, практически файрволле - хотя можно нормально настроить) которые не подходят ни под одно правило. вот для них и есть последнее правило - что с ними делать - отвергать или принимать.
Добавлено: 2006-05-25 0:58:59
100kg
пасиб
вроде ясно!! но всё таки я куплю себе книгу про Firewalls !
Добавлено: 2006-06-08 18:28:32
Roman
lissyara писал(а):есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды
Что за трубы (диверты...понятно) ???
Добавлено: 2006-06-08 18:59:51
Alex Keda
pipe
Добавлено: 2006-06-08 20:27:28
Roman
Понятно