LINUX.ORG.RU
ФорумAdmin

IPFW


0

0 

Подскажите пожалуйста почему при 
#ipfw sh 
высвечивает такие правила при чем некоторые дублируются:
00050   0     0 divert 8668 ip from any to any via vr0
00100   0     0 allow ip from any to any via lo0
00150   0     0 divert 8668 ip from any to any via vr0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
65000 257 44141 allow ip from any to any
65535   0     0 deny ip from any to any
Если в rc.firewall из парвил указаны только 4-е:
${fwcmd} add divert natd ip from any to any via vr0
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
anonymous

Варианты:

1. Кто-то добавил руками и правило живет до перезагрузки.

2. Добавил скрипт типа rc.firewall

3. Добавляет сторонняя программа (у меня например правила добавляются из netams для учета траффика исбора статистики)

Смысла в двух divert-ах на natd нет никакого имхо. Одно можно ликвидировать.

А вот почему счетчики все в нуле?

arnold_shade
()
Ответ на: комментарий от arnold_shade

потому что этот шлюз еще не работает для предоставления доступа юзерам. Слушай а у тебя нет примеро rc.firewall которые реально работают??? Тоесть без обьяснений и коментариев чисто rc.firewall

anonymous
()
Ответ на: комментарий от anonymous

> потому что этот шлюз еще не работает для предоставления доступа юзерам. Слушай а у тебя нет примеро rc.firewall которые реально работают??? Тоесть без обьяснений и коментариев чисто rc.firewall

:-) Это пять!

Anoxemian ★★★★★
()
Ответ на: комментарий от anonymous

А rc.firewall ведь включен в состав дистрибутива, зачем он Вам? Его править не надо. Нужно разрешить firewall_enable в "YES", прописать firewal_type, natd_enable и natd_interface. Возможно еще natd_flags. Все изменения нужно делать в rc.conf. Для FreeBSD4 нужно пересобирать ядро, чтобы включить divert для корректной работы nat-а. А правило ipfw для корректной работы IP маскарадинга нужно всего одно. Что-нибудь типа (обычно оно стоит первым или одним из первых):

ipfw add 100 divert natd ip from any to any via ed0

arnold_shade
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin