ipfw xmit recv in out atd...

Dan Lukes dan at obluda.cz
Thu Dec 1 16:49:23 CET 2005


VUlik at cz.soluziona.com napsal/wrote, On 12/01/05 16:26:
> Podle manualove stranky jsem pochopil, ze packet jdouci z jadra pres
> interface vlan5, prijaty na interfacu em1 a dst-port 22 bude nasledujicimu
> pravidlu odpovidat.
> 
> allow tcp from 10.1.1.100 to any dst-port 22 out recv em1 xmit vlan5 setup
> keep-state
> 
> Zjevne jsem se mylil
> 
> fw1 kernel: ipfw: XXXX Deny TCP 10.1.1.100:3063 172.17.77.20:22 in via em1

	A skutecne to zachytilo shora uvedene pravidlo ? To se preci vztahuje 
jen na "out" pakety. Kdezto hlaska vypada, ze se tyka "in" paketu.

	Rekl bych, ze problem je v tom, ze jsi zapomel, ze kazdy routovany 
paket prochazi firewallem (nejmene) dvakrat - na vstupu ze sitove karty 
do kernelu (tehdy splnuje podminku "in") a na vystupu z kernelu do 
sitove karty (tehdy splnuje podminku "out").

	Tvoje pravidlo povoluje paket "out" - jenze - chudak "in" paket se do 
"out stavu nema samci dostat, protoze ho zlikviduje uz prvni pruchod, 
ktery mu firewallem schvalen neni.

	Pro jistotu pripominam, ze pro paket ve fazi "in" neni znam "xmit" 
interface, takze problem nelze jednoduse vyresit zopakovanim pouziteho 
pravidla pro "in".

					Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list