Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Блин, детский сад! [upd] 14.11.05 16:03 Число просмотров: 2673
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Отредактировано 14.11.05 16:29 Количество правок: 1
|
> > имхо это правило 30. Пакеты срезаются на нем и не
> доходят
> > до сквида.
> > Нужно наверное сделать так:
> > ipfw add 30 reject ip from ${netall} to any in via
> ${ifout}
> >
>
>
> Все равно трабл - 30 правило просто забыл правильно
> написать!!! На самом деле я его убрал вообще - все равно
> users локалки не имеют доступа к сети, имхо это не есть
> хорошо.... Отсюда вывод - или огромный трабл+( в чем
> загвоздка понять не могу....
Как я тебе помогу с рулесетом, если ты его неправильно выкладываешь? :))))
Давай сюда `ipfw sh` нового рулесета
;------------------------------
Update (из старого):
Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)
Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. ОбязательнО оставим вокруг правил с check-state и дивертами.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
