https://slinkov.ru/openforum/vsluhforumID1/87652.html Приветствую. FreeBSD 6.4, на ней работает quagga и bgpd аннонсирует свою подсеть через интерфейс em0. em1 смотрит в локалку, до включения ipfw все отлично работает. После включения аннонс пропадает, вся AS ложится. Что не так в правилах ipfw?<br><br>#!/bin/sh <br>ipfw='/sbin/ipfw -q' <br><br>${ipfw} flush<br>${ipfw} resetlog<br><br>${ipfw} add 300 allow ip from any to any via lo<br>${ipfw} add 305 allow ip from any to any via em1<br>${ipfw} add 310 allow tcp from me to any keep-state via em0<br>${ipfw} add 320 allow icmp from any to any via em0<br>${ipfw} add 350 allow ip from me to any<br>${ipfw} add 400 allow tcp from any to any 22,53,2605,179<br>${ipfw} add 410 allow ip from any to any 179<br>${ipfw} add 420 allow udp from any 53,123 to any<br>${ipfw} add 430 allow udp from any to any 53<br>${ipfw} add 65534 deny ip from any to any<br>---------<br> https://slinkov.ru/openforum/vsluhforumID1/87652.html#3 Fri, 18 Dec 2009 13:08:22 GMT &gt;Как бы можете быть смелее и сказать не man ipfw а "Пошел <br>&gt;ты нахуй". <br><br>какбэ я хотел сказать совсем другое, а имеено что вы, товаришь, не читали мана, так как сразу бросются в глаза откровенные ляпы в правилах, и даже намекнул в каких именно (но вот чтобы понять в каких и почему надо почитать ман :)<br>&gt;65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана <br>&gt;не была. <br>&gt;any ===&gt; me.<br><br>я чесна хз че вам надо - но как посмотерть че блочится я также сказал ))<br><br>ЗЫ за смелость не волнуйтися - тут если че сразу пошлють )) и гораздо дальше ))<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/87652.html#2 Fri, 18 Dec 2009 11:43:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;${ipfw} add 400 allow tcp from any to any 22,53,2605,179 <br>&gt;&gt;${ipfw} add 410 allow ip from any to any 179 <br>&gt;&gt;${ipfw} add 420 allow udp from any 53,123 to any <br>&gt;&gt;${ipfw} add 430 allow udp from any to any 53 <br>&gt;&gt;${ipfw} add 65534 deny ip from any to any <br>&gt;&gt;--------- <br>&gt;<br>&gt;1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации <br>&gt;не сильно катят :)особенно с динамическими правилами <br>&gt;2) включаем лог для последнего deny правила и смотрим что оседает <br><br>Как бы можете быть смелее и сказать не man ipfw а "Пошел ты нахуй".<br>65534 правило запретило транзит и поэтому ничего не работало. BGP сессия разорвана не была.<br>any ===&gt; me.<br> https://slinkov.ru/openforum/vsluhforumID1/87652.html#1 Fri, 18 Dec 2009 11:00:38 GMT &gt;[оверквотинг удален]<br>&gt;${ipfw} add 310 allow tcp from me to any keep-state via em0 <br>&gt;<br>&gt;${ipfw} add 320 allow icmp from any to any via em0 <br>&gt;${ipfw} add 350 allow ip from me to any <br>&gt;${ipfw} add 400 allow tcp from any to any 22,53,2605,179 <br>&gt;${ipfw} add 410 allow ip from any to any 179 <br>&gt;${ipfw} add 420 allow udp from any 53,123 to any <br>&gt;${ipfw} add 430 allow udp from any to any 53 <br>&gt;${ipfw} add 65534 deny ip from any to any <br>&gt;--------- <br><br>1) надо бы почитать `man ipfw`, как бы в ipfw вольные импровизации не сильно катят :)особенно с динамическими правилами<br>2) включаем лог для последнего deny правила и смотрим что оседает<br>