https://www.opennet.me/openforum/vsluhforumID1/82748.html Есть вот такое правило:<br><br>ipfw add pass ip from table(1) to any via xl0<br><br>В table 1 добавляются разные IP адреса и всё работает нормально.<br><br>Проблема состоит в том что, когда я удаляю IP адрес из table 1 - ipfw продолжает пропускать пакеты на уже установленные соединяния для этого IP адреса, при этом новые соединения невозможны.<br><br>Вопрос как убивать действующие соединения на адреса которые не присутствуют в table 1?<br><br>Спасибо<br> https://www.opennet.me/openforum/vsluhforumID1/82748.html#7 Sun, 09 Nov 2008 09:21:11 GMT Пришлось всё-таки заменить:<br><br>${fwcmd} add pass tcp from any to any established<br><br>На целый ряд правил:<br><br>${fwcmd} add pass tcp from me to any established<br>${fwcmd} add pass tcp from any to me established<br><br>${fwcmd} add pass tcp from table(1) to any established via $int_if<br>${fwcmd} add pass tcp from any to table(1) established<br><br>#${fwcmd} add pass tcp from not table(1) to $me_int established via $int_if<br>#${fwcmd} add pass tcp from me to not table(1) established via $int_if<br><br>Проблема решена.<br> https://www.opennet.me/openforum/vsluhforumID1/82748.html#6 Sun, 09 Nov 2008 08:12:50 GMT Попробовал.<br><br>После того как удаляешь IP из table 2 - все его предыдущие соединения восстанавливаются (ICQ, Skype).<br>Постоянно держать айпи в бане - невозможно.<br><br>Я ищу аналог pfctl -K <br><br>Неужели ipfw такой тупой? =))<br><br>Не хотелось менять правила с established, а наверное придётся.<br><br>&gt;скорей всего ранее идет правило которое например разрешает все established или типа <br>&gt;того <br>&gt;проще всего ПЕРЕД этим парвилом, а лучше в начали заводим <br>&gt;<br>&gt;ipfw add DENY ip from table(2) to any via xl0 <br>&gt;<br>&gt;и сразу после удаления заносим айпи в таблицу номер 2 <br>&gt;сработает гарантированно и tcp connect по таймауты порвется https://www.opennet.me/openforum/vsluhforumID1/82748.html#5 Sun, 09 Nov 2008 08:10:53 GMT tcpdrop требует номера портов, которых я не знаю, мне просто надо убить все established соединения на указанный IP адрес<br><br>&gt;Попробуйте tcpdrop https://www.opennet.me/openforum/vsluhforumID1/82748.html#4 Fri, 07 Nov 2008 14:47:00 GMT скорей всего ранее идет правило которое например разрешает все established или типа того<br>проще всего ПЕРЕД этим парвилом, а лучше в начали заводим<br><br>ipfw add DENY ip from table(2) to any via xl0<br><br>и сразу после удаления заносим айпи в таблицу номер 2<br>сработает гарантированно и tcp connect по таймауты порвется<br><br> https://www.opennet.me/openforum/vsluhforumID1/82748.html#3 Fri, 07 Nov 2008 11:11:00 GMT &gt;[оверквотинг удален]<br>&gt;В table 1 добавляются разные IP адреса и всё работает нормально. <br>&gt;<br>&gt;Проблема состоит в том что, когда я удаляю IP адрес из table <br>&gt;1 - ipfw продолжает пропускать пакеты на уже установленные соединяния для <br>&gt;этого IP адреса, при этом новые соединения невозможны. <br>&gt;<br>&gt;Вопрос как убивать действующие соединения на адреса которые не присутствуют в table <br>&gt;1? <br>&gt;<br>&gt;Спасибо <br><br>Доброго дня.<br><br>Попробуйте tcpdrop<br> https://www.opennet.me/openforum/vsluhforumID1/82748.html#2 Fri, 07 Nov 2008 10:23:41 GMT Тогда уж скорее <br><br>ipfw add DENY ip from any to table(1) без via<br><br>Но в этом случае заблокируются все кто находится в table(1), а мне это не нужно.<br><br>&gt;Если правило действительно такое как у вас написано, то обмен с этим <br>&gt;адресом должен прекращаться. По крайней мере, с его стороны точно. Если <br>&gt;вам хочется прекратить передачу и в его сторону, то добавьте правило: <br>&gt;<br>&gt;ipfw add pass ip from any to table(1) via xl0 <br>&gt;<br>&gt;Тогда при удалении адреса из таблицы обмен будет прекращаться в обе стороны <br>&gt;(конечно, если после этих правил стоит запрещающее правило). https://www.opennet.me/openforum/vsluhforumID1/82748.html#1 Fri, 07 Nov 2008 10:10:13 GMT &gt;[оверквотинг удален]<br>&gt;ipfw add pass ip from table(1) to any via xl0 <br>&gt;<br>&gt;В table 1 добавляются разные IP адреса и всё работает нормально. <br>&gt;<br>&gt;Проблема состоит в том что, когда я удаляю IP адрес из table <br>&gt;1 - ipfw продолжает пропускать пакеты на уже установленные соединяния для <br>&gt;этого IP адреса, при этом новые соединения невозможны. <br>&gt;<br>&gt;Вопрос как убивать действующие соединения на адреса которые не присутствуют в table <br>&gt;1? <br><br>Если правило действительно такое как у вас написано, то обмен с этим адресом должен прекращаться. По крайней мере, с его стороны точно. Если вам хочется прекратить передачу и в его сторону, то добавьте правило:<br>ipfw add pass ip from any to table(1) via xl0 <br><br>Тогда при удалении адреса из таблицы обмен будет прекращаться в обе стороны (конечно, если после этих правил стоит запрещающее правило).<br>