ipfw xmit recv in out atd...

VUlik at cz.soluziona.com VUlik at cz.soluziona.com
Thu Dec 1 17:52:05 CET 2005


> > allow tcp from 10.1.1.100 to any dst-port 22 out recv em1 xmit vlan5 
> > setup keep-state
> >
> > fw1 kernel: ipfw: XXXX Deny TCP 10.1.1.100:3063 172.17.77.20:22 in via
> em1
> 
> 	A skutecne to zachytilo shora uvedene pravidlo ? To se preci
> vztahuje
> jen na "out" pakety. Kdezto hlaska vypada, ze se tyka "in" paketu.

To samozrejme nikoli, nebot v logu je Deny a v pravidle Pass....

> 	Rekl bych, ze problem je v tom, ze jsi zapomel, ze kazdy routovany
> paket prochazi firewallem (nejmene) dvakrat - na vstupu ze sitove karty
> do kernelu (tehdy splnuje podminku "in") a na vystupu z kernelu do
> sitove karty (tehdy splnuje podminku "out").

A ja bych rekl, ze mas naprostou pravdu... :-)

> 
> 	Tvoje pravidlo povoluje paket "out" - jenze - chudak "in" paket se
> do
> "out stavu nema samci dostat, protoze ho zlikviduje uz prvni pruchod,
> ktery mu firewallem schvalen neni.

No vida, nekdy staci napovedet a nekdy se musi nakopnout. Dnes jsem si
vyjimecne vystacil s napovedou...

Diky....




More information about the Users-l mailing list