IPFW, Особенности работы in,out,recv,xmit,via Опции

[SergeyKa]

Рекомендую изучить man ipfw :)
Поговорим о вещах которые вызывают затруднение у новичков при настройке ipfw

in и out относятся к направлению движения пакета (подразумевается относительно операционной системы на которой установлен ipfw)

recv, xmit, via - это относится к интерфейсу
1) recv - интерфейс получил пакет
2) xmit - передал пакет
3) via - через интерфейс неважно в какую сторону

Типа примеры:

in recv rl0 - входящий пакет, полученный с интерфейса rl0
out recv rl0 - исходящий пакет, полученный rl0 интерфейсом
out xmit rl0 - исходящий пакет, отправленный rl0 интерфейсом

in xmit rl0 - входящий пакет, отправленный rl0 интерфейсом - неверное утверждени. При испольнении вызовет ошибку.

out recv rl0 xmit rl1 - исходящий пакет, полученный через rl0 и отправленный через rl1.

out via = out xmit
in via = in recv

Вот пример работы правил на внешнем интерфейсе:
Работаем через nat - ipnat
195.195.95.15 - Внешний интерфейс на котором висит НАТ
80.15.235.143:80 - www.microsoft.com
192.168.10.98 - Локальный компьютер для теста

out xmit rl0

Код

ipfw add 90 pass log tcp from any to any out xmit rl0

Смотрим лог
Aug 23 11:30:50 myd.ru /kernel: ipfw: 90 Accept TCP 195.195.95.15:4244 80.15.235.143:80 out via rl0
Вывод - правило out xmit rl0 пропускает пакеты обработанные натом во внешнюю сеть ИНТЕРНЕТ

Код

ipfw del 90

out recv rl0

Код

ipfw add 90 pass log tcp from any to any out recv rl0

Смотрим лог
Aug 23 11:33:30 myd.ru /kernel: ipfw: 90 Accept TCP 80.15.235.143:80 192.168.10.98:3182 out via rl1
Вывод - правило out recv rl0 пропускает пакеты (ответ на наш запрос) с внешнего сервера
во внутреннюю сеть после возврата исходных заговолков, перепеисанных НАТом при отправке
Это правило самое интересное и по этому чаще встречается в реальных правилах файрволов
Мы пропускаем исходящие пакеты (относительно нашего шлюза) - тоесть пакет для нашей локальной сети,
полученный rl0 интерфейсом, а значит правило касается всех интерфейсов работающих на выход
(относительно нашего шлюза).
Тогда сколько бы нибыло локальных сетей подключено к нашему шлюзу все пакеты адресованные им были бы
пропущены с помощью этого правила - rl1, rl2, rl3 ...
Будте бдительны!
Именно исходя из этого чаще всего встречаются правила типа out recv rl0 xmit rl1 - с указание конкретного
интерфейса для выхода из системы

Код

ipfw del 90

in recv rl0

Код

ipfw add 90 pass log tcp from any to any out recv rl0

Смотрим лог
Aug 23 11:36:05 myd.ru /kernel: ipfw: 90 Accept TCP 80.15.235.143:80 192.168.10.98:3182 in via rl0

Код

ipfw del 90

Хочу заметить, что в случае использования natd результат будет другой.