Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Блин, детский сад! [upd] 14.11.05 16:03 Число просмотров: 2673
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman Отредактировано 14.11.05 16:29 Количество правок: 1
|
> > имхо это правило 30. Пакеты срезаются на нем и не > доходят > > до сквида. > > Нужно наверное сделать так: > > ipfw add 30 reject ip from ${netall} to any in via > ${ifout} > > > > > Все равно трабл - 30 правило просто забыл правильно > написать!!! На самом деле я его убрал вообще - все равно > users локалки не имеют доступа к сети, имхо это не есть > хорошо.... Отсюда вывод - или огромный трабл+( в чем > загвоздка понять не могу....
Как я тебе помогу с рулесетом, если ты его неправильно выкладываешь? :))))
Давай сюда `ipfw sh` нового рулесета
;------------------------------
Update (из старого):
Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)
Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. ОбязательнО оставим вокруг правил с check-state и дивертами.
|
|
|