IPFW pravidlo fwd
Dan Lukes
dan at obluda.cz
Mon Apr 27 08:50:23 CEST 2009
Zbyněk Burget wrote:
> Zkousel jsem jeste jednu variantu, ze jsem si webovy provoz od
> testovaciho stroje v ipfw "skipnul" do samostatneho kousicku, kde jsem
> pak pouzil vseobecne forwardovaci pravidlo. To fungovalo spolehlive.
> Takze mne zarazi, kde je vlastne rozdil mezi tim pravidlem pro jeden
> jediny testovaci stroj a pravidlem vseobecnym.
Mas pomerne slozity firewall, ktery jsme my nevideli. Nevim ani, treba,
jakych vsech pakety se tyka "vseobecne forwardovaci pravidlo". A nekde
patrne delas chybu, coz je nakonec duvod dotazu. Ale my nevime kde.
Neznamy slozity firewal s chybou kdesi v nem, to jsou desitky moznosti.
Obavam se, ze neni sance ti smysluplne poradit.
Paket prochazi firewallem vicekrat - staci, aby neprosel spravne v
kteremkoliv pruchodu. Zretelne to do funkcniho stavu dostat dokazes.
Takze mas z ceho vyjit. V tomto stavu pakety neprochazeji tim mistem,
ktere je jinak zablokuje. Postupnymi drobnymi zmenami mezi funkcnim a
zadoucim (lec nefunkcnim) stavem najdes bod, kdy to prestava fungovat. A
tim budes mit problem nalezen.
Zkouset to na produkcni siti je sice trochu nestastne, ale asi nemas
jinou moznost. Ja bych se zakazniky komunikoval mailem na na
redirektovani stranek se zcela vykaslal.
> funguju, v druhem pripade squid tvdri, ze access denied
A kdy SQUID hlasi access denied ? Ja predpokladam, ze tehdy, kdyz mu
tento HTTP navratovy kod (tusim, ze to je 403) vrati next-server a nebo
pokud pozadavek neni dovoleno obslouzit z hlediska nastaveni toho
SQUIDu. A mozna take, kdyz se pokusi odeslat paket jadru a dozvi se
EACCESS za coz muze firewall. Az budes vedet ktera z tech moznosti to
je, budes zase o kousek dal ...
Dan
More information about the Users-l
mailing list