ipfw xmit recv in out atd...
Dan Lukes
dan at obluda.cz
Thu Dec 1 16:49:23 CET 2005
VUlik at cz.soluziona.com napsal/wrote, On 12/01/05 16:26:
> Podle manualove stranky jsem pochopil, ze packet jdouci z jadra pres
> interface vlan5, prijaty na interfacu em1 a dst-port 22 bude nasledujicimu
> pravidlu odpovidat.
>
> allow tcp from 10.1.1.100 to any dst-port 22 out recv em1 xmit vlan5 setup
> keep-state
>
> Zjevne jsem se mylil
>
> fw1 kernel: ipfw: XXXX Deny TCP 10.1.1.100:3063 172.17.77.20:22 in via em1
A skutecne to zachytilo shora uvedene pravidlo ? To se preci vztahuje
jen na "out" pakety. Kdezto hlaska vypada, ze se tyka "in" paketu.
Rekl bych, ze problem je v tom, ze jsi zapomel, ze kazdy routovany
paket prochazi firewallem (nejmene) dvakrat - na vstupu ze sitove karty
do kernelu (tehdy splnuje podminku "in") a na vystupu z kernelu do
sitove karty (tehdy splnuje podminku "out").
Tvoje pravidlo povoluje paket "out" - jenze - chudak "in" paket se do
"out stavu nema samci dostat, protoze ho zlikviduje uz prvni pruchod,
ktery mu firewallem schvalen neni.
Pro jistotu pripominam, ze pro paket ve fazi "in" neni znam "xmit"
interface, takze problem nelze jednoduse vyresit zopakovanim pouziteho
pravidla pro "in".
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list