IPFW, Особенности работы in,out,recv,xmit,via |
Здравствуйте, гость ( Вход | Регистрация )
IPFW, Особенности работы in,out,recv,xmit,via |
SergeyKa |
23.08.2003 - 11:18
Сообщение
#1
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Рекомендую изучить man ipfw :)
Поговорим о вещах которые вызывают затруднение у новичков при настройке ipfw in и out относятся к направлению движения пакета (подразумевается относительно операционной системы на которой установлен ipfw) recv, xmit, via - это относится к интерфейсу 1) recv - интерфейс получил пакет 2) xmit - передал пакет 3) via - через интерфейс неважно в какую сторону Типа примеры: in recv rl0 - входящий пакет, полученный с интерфейса rl0 out recv rl0 - исходящий пакет, полученный rl0 интерфейсом out xmit rl0 - исходящий пакет, отправленный rl0 интерфейсом in xmit rl0 - входящий пакет, отправленный rl0 интерфейсом - неверное утверждени. При испольнении вызовет ошибку. out recv rl0 xmit rl1 - исходящий пакет, полученный через rl0 и отправленный через rl1. out via = out xmit in via = in recv Вот пример работы правил на внешнем интерфейсе: Работаем через nat - ipnat 195.195.95.15 - Внешний интерфейс на котором висит НАТ 80.15.235.143:80 - www.microsoft.com 192.168.10.98 - Локальный компьютер для теста out xmit rl0 Код ipfw add 90 pass log tcp from any to any out xmit rl0 Смотрим лог Aug 23 11:30:50 myd.ru /kernel: ipfw: 90 Accept TCP 195.195.95.15:4244 80.15.235.143:80 out via rl0 Вывод - правило out xmit rl0 пропускает пакеты обработанные натом во внешнюю сеть ИНТЕРНЕТ Код ipfw del 90 out recv rl0 Код ipfw add 90 pass log tcp from any to any out recv rl0 Смотрим лог Aug 23 11:33:30 myd.ru /kernel: ipfw: 90 Accept TCP 80.15.235.143:80 192.168.10.98:3182 out via rl1 Вывод - правило out recv rl0 пропускает пакеты (ответ на наш запрос) с внешнего сервера во внутреннюю сеть после возврата исходных заговолков, перепеисанных НАТом при отправке Это правило самое интересное и по этому чаще встречается в реальных правилах файрволов Мы пропускаем исходящие пакеты (относительно нашего шлюза) - тоесть пакет для нашей локальной сети, полученный rl0 интерфейсом, а значит правило касается всех интерфейсов работающих на выход (относительно нашего шлюза). Тогда сколько бы нибыло локальных сетей подключено к нашему шлюзу все пакеты адресованные им были бы пропущены с помощью этого правила - rl1, rl2, rl3 ... Будте бдительны! Именно исходя из этого чаще всего встречаются правила типа out recv rl0 xmit rl1 - с указание конкретного интерфейса для выхода из системы Код ipfw del 90 in recv rl0 Код ipfw add 90 pass log tcp from any to any out recv rl0 Смотрим лог Aug 23 11:36:05 myd.ru /kernel: ipfw: 90 Accept TCP 80.15.235.143:80 192.168.10.98:3182 in via rl0 Код ipfw del 90 Хочу заметить, что в случае использования natd результат будет другой. |
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 24.04.2024 - 13:51 |
|