типа
ipfw add allow ip from any to any via xl0
ipfw add allow iсmp from any to any
и все дела.
думаю, правило добавить быстрее, чем ядро перекомпилять.
:)
правда, я не понял, нафига тебе ФВ в таком случае, если ты все пакеты разрешать собрался?
только для NAT?
$fwcmd add divert natd all from any to any via $ext_if
$fwcmd add pass all from any to any
Запускаю все ок.
divert ip с внешней и allow все внутренние.
после этого смотрю ipfw -a l
и эта сука добавляет в конце свое умолчание
65535 0 0 deny ip from any to any
!!!!
блин как отучить? что я сделал неправильно?
Никак!ставь нужнае правила раньше и все будет зашибись!09.10.01 11:13 Автор: Apossum Статус: Незарегистрированный пользователь
> если хочешь чтоб по дефолту IPFW пропускал все компили ядро > с опцией > options IPFIREWALL_DEFAULT_TO_ACCEPT > > а вообще просмотри конфигурацию LINT (а не GENERIC) там > много есть полезных опций.
Я вообще-то уже пересобрал ядро, с такими вот опциями:
natd_enable="YES"
natd_interface="fxp0" #Имя интерфейса, смотрящего к провайдеру
natd_flags="-unregistered_only -dynamic"
В файле /etc/sysctl.conf
net.inet.ip.forwarding=1
> > З.Ы. По идее IPFW и должен запрещать все - на то это и > файрволл... а потом добавляешь разрешенные коннекты > > man ipfw > man rc.firewall читал.
точно надо пересобирать с IPFIREWALL_DEFAULT_TO_ACCEPT???
> > З.Ы. По идее IPFW и должен запрещать все - на то это и > > файрволл... а потом добавляешь разрешенные коннекты > > > > man ipfw > > man rc.firewall > читал. > точно надо пересобирать с IPFIREWALL_DEFAULT_TO_ACCEPT??? железно
блин, зачем такие сложности? создай разрешающее правило.08.10.01 14:11 Автор: йцукенг <jcukeng> Статус: Member
типа
ipfw add allow ip from any to any via xl0
ipfw add allow iсmp from any to any
и все дела.
думаю, правило добавить быстрее, чем ядро перекомпилять.
:)
правда, я не понял, нафига тебе ФВ в таком случае, если ты все пакеты разрешать собрался?
только для NAT?
Не спеши, сначала начало треда почитал бы!08.10.01 14:20 Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
> типа > ipfw add allow ip from any to any via xl0 > ipfw add allow iсmp from any to any > и все дела. > думаю, правило добавить быстрее, чем ядро перекомпилять. > :) > правда, я не понял, нафига тебе ФВ в таком случае, если ты > все пакеты разрешать собрался? > только для NAT?
у меня прописано:
$fwcmd add divert natd all from any to any via $ext_if
$fwcmd add pass all from any to any
при этом
Запускаю все ок.
divert ip с внешней и allow все внутренние.
после этого смотрю ipfw -a l
и эта сука добавляет в конце свое умолчание
65535 0 0 deny ip from any to any
и нифига не ходит.
!!!!
блин как отучить? что я сделал неправильно?
говорю же man rc.conf08.10.01 14:35 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
firewall_enable
(bool) Set to ``YES'' to load firewall rules at startup.
If the kernel was not built with IPFIREWALL, the ipfw ker-
nel module will be loaded. See also ipfilter_enable.
firewall_type
(str) Names the firewall type from the selection in
/etc/rc.firewall, or the file which contains the local
firewall ruleset. Valid selections from /etc/rc.firewall,
are ``open'' - unrestricted IP access; ``closed'' - all IP
services disabled, except via lo0; ``client'' - basic pro-
tection for a workstation; ``simple'' - basic protection
for a LAN. If a filename is specified, the full path must
be given.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
