IPFW pravidlo fwd

Dan Lukes dan at obluda.cz
Mon Apr 27 08:50:23 CEST 2009


Zbyněk Burget wrote:
> Zkousel jsem jeste jednu variantu, ze jsem si webovy provoz od 
> testovaciho stroje v ipfw "skipnul" do samostatneho kousicku, kde jsem 
> pak pouzil vseobecne forwardovaci pravidlo. To fungovalo spolehlive. 
> Takze mne zarazi, kde je vlastne rozdil mezi tim pravidlem pro jeden 
> jediny testovaci stroj a pravidlem vseobecnym. 

Mas pomerne slozity firewall, ktery jsme my nevideli. Nevim ani, treba, 
jakych vsech pakety se tyka "vseobecne forwardovaci pravidlo". A nekde 
patrne delas chybu, coz je nakonec duvod dotazu. Ale my nevime kde. 
Neznamy slozity firewal s chybou kdesi v nem, to jsou desitky moznosti. 
Obavam se, ze neni sance ti smysluplne poradit.

Paket prochazi firewallem vicekrat - staci, aby neprosel spravne v 
kteremkoliv pruchodu. Zretelne to do funkcniho stavu dostat dokazes. 
Takze mas z ceho vyjit. V tomto stavu pakety neprochazeji tim mistem, 
ktere je jinak zablokuje. Postupnymi drobnymi zmenami mezi funkcnim a 
zadoucim (lec nefunkcnim) stavem najdes bod, kdy to prestava fungovat. A 
tim budes mit problem nalezen.

Zkouset to na produkcni siti je sice trochu nestastne, ale asi nemas 
jinou moznost. Ja bych se zakazniky komunikoval mailem na na 
redirektovani stranek se zcela vykaslal.

> funguju, v druhem pripade squid tvdri, ze access denied

A kdy SQUID hlasi access denied ? Ja predpokladam, ze tehdy, kdyz mu 
tento HTTP navratovy kod (tusim, ze to je 403) vrati next-server a nebo 
pokud pozadavek neni dovoleno obslouzit z hlediska nastaveni toho 
SQUIDu. A mozna take, kdyz se pokusi odeslat paket jadru a dozvi se 
EACCESS za coz muze firewall. Az budes vedet ktera z tech moznosti to 
je, budes zase o kousek dal ...

					Dan





More information about the Users-l mailing list