forum.opennet.ru - "freebsd ipfw помогите разобратся в последовательности прохож..." (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"freebsd ipfw помогите разобратся в последовательности прохож..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"freebsd ipfw помогите разобратся в последовательности прохож..."
Сообщение от kaats (ok) on 17-Янв-08, 09:38
Возникла проблема в непонимании логики работы ipfw freebsd 6. (шлюз для интернет, dns,dhcp,vpn(pptp), два интерфейса: один в мир, другой в локалку) Помогите, может что подсоветуете. насколько мне известно, через ipfw пакеты могут проходить двумя способами - попадать под первое же подходящее правило и покидать фаервол - проходить по всем цепочкам правил, не зависимо удовлетворяют они его(пакет) или нет пока не встретится явно запрещающее правило. Вопросы: 1 как проверить какой метод сейчас установлен? 2 В ситуации, когда пользователь подключается к интернет посредством pptp, и ему нужно разрешить обращатся к dns, разрешить в и с "мира" все, использовать divert natd, использовать pipe и queue - какой способ нужно использовать? Я совершенно запутался с пониманием последовательности обработки в ситуации - когда пакеты проходят от пользователей через созданные vpn туннели. Как и через что они попадают в ipfw. 3 Между клиентом в локалке и ВПНсервером начинают ходить gre пакеты между айпи локального интерфейса и айпи пользователя в локалке. Образуєтся туннель, подымается интерфейс tunХ+. Адрес отправителя - айпи из диапазона для vpn клиентов. А вот назначения - адрес локального интерфейса, который есть ВПНсервером? И как дальше движутся пакеты?? если необходим выход в Интернет. 4 когда нужно над одними и теми же пакетами производить несколько операций (завоачивать в нат, ограничивать скорость и выставлять приоритеты) как организовывать прохождения правил? 5 что такое skipto - означает обработать пакет и передать на правили с номером? И как быть если и дальше пакет нужно обработать - снова на skipto номер.? Буду признателен на любой свет в моем тунеле.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

freebsd ipfw помогите разобратся в последовательности прохож..., z1nkum, 10:30 , 17-Янв-08, (1)

freebsd ipfw помогите разобратся в последовательности прохож..., kaats, 15:00 , 17-Янв-08, (2)

freebsd ipfw помогите разобратся в последовательности прохож..., z1nkum, 16:11 , 17-Янв-08, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "freebsd ipfw помогите разобратся в последовательности прохож..."

Сообщение от z1nkum (ok) on 17-Янв-08, 10:30

>Возникла проблема в непонимании логики работы ipfw freebsd 6.
>(шлюз для интернет, dns,dhcp,vpn(pptp), два интерфейса: один в мир, другой в локалку)
>
>Помогите, может что подсоветуете.
>насколько мне известно, через ipfw пакеты могут проходить двумя способами
>- попадать под первое же подходящее правило и покидать фаервол
>- проходить по всем цепочкам правил, не зависимо удовлетворяют они его(пакет) или
>нет пока не встретится явно запрещающее правило.
неа, пакет выходит из ipfw как только попадает в подходящее правило
кроме случаев, когда используются шейперы с выключенным net.inet.ip.fw.one_pass
>Вопросы:
>1 как проверить какой метод сейчас установлен?
sysctl net.inet.ip.fw.one_pass
если 0 - на выходе пайпа идти дальше по следующим правилам вниз
>2 В ситуации, когда пользователь подключается к интернет посредством pptp, и ему
>нужно разрешить обращатся к dns, разрешить в и с "мира" все,
>использовать divert natd, использовать pipe и queue - какой способ нужно
>использовать?
это уж как душа захочет.
pipe и queue - ограничивать канал для клиента
divert natd - натить
ограничения - в меру параноидальности

>
>Я совершенно запутался с пониманием последовательности обработки в ситуации
>- когда пакеты проходят от пользователей через созданные vpn туннели. Как и
>через что они попадают в ipfw.
через интерфейсы туннелей (tunX)
>3   Между клиентом в локалке и ВПНсервером начинают ходить gre
>пакеты между айпи локального интерфейса и айпи пользователя в локалке. Образуєтся
>туннель, подымается интерфейс tunХ+. Адрес отправителя - айпи из диапазона для
>vpn клиентов. А вот назначения - адрес локального интерфейса, который есть
>ВПНсервером? И как дальше движутся пакеты?? если необходим выход в Интернет.
дальше так же, как если бы с интернетом общался сервер
>
>
>4 когда нужно над одними и теми же пакетами производить несколько операций
>(завоачивать в нат, ограничивать скорость и выставлять приоритеты) как организовывать прохождения
>правил?
сначала шейперы на исходящий трафик с локального адреса (с net.inet.ip.fw.one_pass=0)
потом нат
шейперы на входящий трафик на локальный адрес
>
>5 что такое skipto - означает обработать пакет и передать на правили
>с номером?
просто при совпадении с условием правила пропустить все правила до N
>И как быть если и дальше пакет нужно обработать - снова на
>skipto номер.?
>
>Буду признателен на любой свет в моем тунеле.
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "freebsd ipfw помогите разобратся в последовательности прохож..."

Сообщение от kaats (??) on 17-Янв-08, 15:00

Спасибо за ответ, зацеплюсь за net.inet.ip.fw.one_pass и думаю у меня все получится.
А вот все тот же "skipto номер"
Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает на указанный номер. Там обрабатывается снова, и , если skipto в правиле нет и правило ему удовлетворяет - он покидает ipfw?

и еще:
Если sysctl net.inet.ip.fw.one_pass=0
то  пакет после (например) правил с pipe не покидает фаервол - а следует до следующего, удовлетворяющего правила и лишь там уходит или блокируется?
Я правильно понял?

Спасибо за ответы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "freebsd ipfw помогите разобратся в последовательности прохож..."

Сообщение от z1nkum (ok) on 17-Янв-08, 16:11

>А вот все тот же "skipto номер"
>Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает
>на указанный номер. Там обрабатывается снова, и , если skipto в
>правиле нет и правило ему удовлетворяет - он покидает ipfw?
>
да что такое обрабатывается то? Пакет =сверяется= с правилом и если подходит - улетает на правило номер N, а там дальше идёт до совпадения.

>
>и еще:
>Если sysctl net.inet.ip.fw.one_pass=0
>то  пакет после (например) правил с pipe не покидает фаервол -
>а следует до следующего, удовлетворяющего правила и лишь там уходит или
>блокируется?
>
>Я правильно понял?
правильно

>
>
>Спасибо за ответы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "freebsd ipfw помогите разобратся в последовательности прохож..."
Сообщение от z1nkum (ok) on 17-Янв-08, 10:30
>Возникла проблема в непонимании логики работы ipfw freebsd 6. >(шлюз для интернет, dns,dhcp,vpn(pptp), два интерфейса: один в мир, другой в локалку) > >Помогите, может что подсоветуете. >насколько мне известно, через ipfw пакеты могут проходить двумя способами >- попадать под первое же подходящее правило и покидать фаервол >- проходить по всем цепочкам правил, не зависимо удовлетворяют они его(пакет) или >нет пока не встретится явно запрещающее правило. неа, пакет выходит из ipfw как только попадает в подходящее правило кроме случаев, когда используются шейперы с выключенным net.inet.ip.fw.one_pass >Вопросы: >1 как проверить какой метод сейчас установлен? sysctl net.inet.ip.fw.one_pass если 0 - на выходе пайпа идти дальше по следующим правилам вниз >2 В ситуации, когда пользователь подключается к интернет посредством pptp, и ему >нужно разрешить обращатся к dns, разрешить в и с "мира" все, >использовать divert natd, использовать pipe и queue - какой способ нужно >использовать? это уж как душа захочет. pipe и queue - ограничивать канал для клиента divert natd - натить ограничения - в меру параноидальности > >Я совершенно запутался с пониманием последовательности обработки в ситуации >- когда пакеты проходят от пользователей через созданные vpn туннели. Как и >через что они попадают в ipfw. через интерфейсы туннелей (tunX) >3 Между клиентом в локалке и ВПНсервером начинают ходить gre >пакеты между айпи локального интерфейса и айпи пользователя в локалке. Образуєтся >туннель, подымается интерфейс tunХ+. Адрес отправителя - айпи из диапазона для >vpn клиентов. А вот назначения - адрес локального интерфейса, который есть >ВПНсервером? И как дальше движутся пакеты?? если необходим выход в Интернет. дальше так же, как если бы с интернетом общался сервер > > >4 когда нужно над одними и теми же пакетами производить несколько операций >(завоачивать в нат, ограничивать скорость и выставлять приоритеты) как организовывать прохождения >правил? сначала шейперы на исходящий трафик с локального адреса (с net.inet.ip.fw.one_pass=0) потом нат шейперы на входящий трафик на локальный адрес > >5 что такое skipto - означает обработать пакет и передать на правили >с номером? просто при совпадении с условием правила пропустить все правила до N >И как быть если и дальше пакет нужно обработать - снова на >skipto номер.? > >Буду признателен на любой свет в моем тунеле. >
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "freebsd ipfw помогите разобратся в последовательности прохож..."
	Сообщение от kaats (??) on 17-Янв-08, 15:00
	Спасибо за ответ, зацеплюсь за net.inet.ip.fw.one_pass и думаю у меня все получится. А вот все тот же "skipto номер" Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает на указанный номер. Там обрабатывается снова, и , если skipto в правиле нет и правило ему удовлетворяет - он покидает ipfw? и еще: Если sysctl net.inet.ip.fw.one_pass=0 то пакет после (например) правил с pipe не покидает фаервол - а следует до следующего, удовлетворяющего правила и лишь там уходит или блокируется? Я правильно понял? Спасибо за ответы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "freebsd ipfw помогите разобратся в последовательности прохож..."
	Сообщение от z1nkum (ok) on 17-Янв-08, 16:11
	>А вот все тот же "skipto номер" >Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает >на указанный номер. Там обрабатывается снова, и , если skipto в >правиле нет и правило ему удовлетворяет - он покидает ipfw? > да что такое обрабатывается то? Пакет =сверяется= с правилом и если подходит - улетает на правило номер N, а там дальше идёт до совпадения. > >и еще: >Если sysctl net.inet.ip.fw.one_pass=0 >то пакет после (например) правил с pipe не покидает фаервол - >а следует до следующего, удовлетворяющего правила и лишь там уходит или >блокируется? > >Я правильно понял? правильно > > >Спасибо за ответы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]