1.2, vi (?), 04:48, 20/03/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> 1. сначала идут инструкции deny и reject (если
> есть), чтобы погасить вредный трафик
> 2. потом count для внешнего трафика, если
> интересна полная статистика
отброшенные пунктом 1 входящие пакеты все равно засчитаются тебе в траффик твоим ISP -- твоему серверу-то их то передали (важно если за траффик платишь) ... поэтому если хочешь видеть реально полную статистику, то count надо первым ставить... а так на втором месте будет считаться только "полезный" траффик...
ps. про подсчеты трафика киской и т.д не напоминайте -- не о том речь | |
|
2.9, proff (?), 15:14, 16/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
Точно подмечено: ПОЛЕЗНЫЙ трафик. Очипятался я там, есть такое дело ;-)
Но с другой стороны, считывать счетчики можно не только с правил count, но и с других правил (allow, deny, ...). Так что полет фантазии для подсчета трафика только count-том не ограничен ;-) | |
|
1.4, Василий (?), 13:55, 06/11/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Попадает ли пакет, который обработан правилом с divert обратно в файрвол? | |
|
2.5, McLone (?), 07:06, 11/11/2003 [^] [^^] [^^^] [ответить]
| +/– |
Это тебе не ipf/ipnat... тут используется древнейшая технология файерволостроения "first match" так что пакеты НЕ МОГУТ проходить правило более 1-го раза - попал пакет в правило и ушёл из файервола (кроме skipto number ИМХО). Если хочется поизголяться с НАТа - man 5 ipf (http://www.obfuscation.org/ipf/ тоже рулез) там "last match", а ipfw/natd/dummynet - это как бы... хм... быстрое решение, когда лень вникать. А ipf/ipnat тоже встроены... Опять же ИМХО получается что "скрипач не нужен". | |
|
3.6, Basil (?), 15:34, 03/12/2003 [^] [^^] [^^^] [ответить]
| +/– |
Ничего подобного. RTFM.
Пакеты могут быть "reinjected into firewall" в том случае, если правила неверно написаны. I.e., если в правиле на входящий пакет не поставлена опция проверять только входящие, то проверке он подвергнется входя в интерфейс и выходя из него.
Divert packets that match this rule to the divert(4) socket bound to port port. <b>The search terminates.</b> RTFM. Полезно, по себе знаю.
| |
3.11, Serrj (?), 13:15, 30/03/2005 [^] [^^] [^^^] [ответить]
| +/– |
natd(8) : "..After translation by natd, packets re-enter the firewall at the rule number following the rule number that caused the diversion (not the next rule if there are several at the same number)..."
| |
|
|
1.7, Александр Моря (?), 15:49, 13/12/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
RTFM то конечно классно но не суть))) Поскольку Divert packets that match this rule to the divert(4) socket bound to port port. <b>The search terminates.</b> это есть общий случай... а вот при попадании пакета в natd этот пакет так сказать реинжектится)) в файрвол и проходит правила с номерами, превышающими номер правила ната(в который он попал)Вот так вот))) а вы RTFM... | |
1.8, Dmitry Grigorovich (?), 13:13, 12/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему никто даже не предлагает использовать ipfw skipto в правилах ?
Таким образом можно сделать структуру правил нелинейной, в виде бинарного дерева
Это позволит уменьшить кол-во обрабатываемых команд
Что же касается порядка размещения правил,
то с точки зрения скорости обработки правил,
внутренний канал как правило быстрее работает чем внешний
поэтому IMHO стоит сначала разрешить пакеты для внутренней сети
а потом уже обрабатывать уже пакет их внешней сети
и во внешнюю сеть
| |
1.10, KES (?), 18:07, 22/09/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно, а как должен выгледеть файр волл, если net.link.ether.bridge=1
net.link.ether.bridge_ipfw=1
и с политикой 65535 deny ip from any to any
Физическая структура такая:
Есть сеть: 192.168.0.0/16
Эта сеть разделена физически на две части:
192.168.0.0/24 i 192.168.1.0/24
У каждой подсети есть свой сервачок, который раздает и-нет (natd) и считает трафик.
| |
1.12, XoRe (??), 08:42, 30/07/2005 [ответить] [﹢﹢﹢] [ · · · ] | +/– | Я хочу рассмотреть ситуацию, когда локальная сеть имеет выход в интернет через ш... большой текст свёрнут, показать | |
1.14, TazMan (?), 00:35, 28/12/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а не подскажет ли кто как быть с pipe ? его куда в этом порядке вставлять ? in и out /// хотелось бы действующий firewall.rules посмотреть ... | |
|