Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен ipfw.
Имееются набор правил:
$cmd 014 divert natd log ip from any to any in via $pif
$cmd 015 check-state
$cmd 021 $skip tcp from any to any out via $pif keep-state
$cmd 392 allow tcp from any to any 3389 in via $pif
$cmd 800 divert natd log ip from any to any out via $pif
$cmd 801 allow ip from any to any
Понятно, что я привёл выборку из набора правил. Смысл в том, что мне нужно перебросить RDP на сервер MS. Данный набор правил работает но мне не понятно следующее:
если заменить правило 392 на
$cmd 392 allow tcp from any to any 3389 in via $pif setup keep-state или
$cmd 392 allow tcp from any to any 3389 in via $pif setup limit src-addr 5 или
$cmd 392 allow tcp from any to any 3389 in via $pif keep-state
То не работает удалённый рабочий стол.
Почему такая странная реакция на добавление keep-state правил?? Причём у меня сложилось мнение, что это правило связано с правилом 021, хотя не должно, потому что keep-state должен создавать динамические правила.
Буду благодарен за ваши разъяснения!!
ниасилил02.11.05 20:55 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Недостаточно инфы для разумного ответа. Гипотеза: неправильные правила.
Где расположен сервер? в интра- или интернете? что такое $pif? каков конфиг natd?
Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)
Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. Обязательн оставим вокруг правил с check-state и дивертами.
Проверено - помогает. !0 раз так сделаешь - будешь в уме рулесеты дебажить. Да и то не всегда :)))
> Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен > ipfw. > Имееются набор правил: > $cmd 014 divert natd log ip from any to any in via $pif > $cmd 015 check-state > $cmd 021 $skip tcp from any to any out via $pif keep-state > $cmd 392 allow tcp from any to any 3389 in via $pif > $cmd 800 divert natd log ip from any to any out via $pif > $cmd 801 allow ip from any to any > > Понятно, что я привёл выборку из набора правил. Смысл в > том, что мне нужно перебросить RDP на сервер MS. Данный > набор правил работает но мне не понятно следующее: > если заменить правило 392 на > $cmd 392 allow tcp from any to any 3389 in via $pif setup > keep-state или > $cmd 392 allow tcp from any to any 3389 in via $pif setup > limit src-addr 5 или > $cmd 392 allow tcp from any to any 3389 in via $pif > keep-state > То не работает удалённый рабочий стол. > Почему такая странная реакция на добавление keep-state > правил?? Причём у меня сложилось мнение, что это правило > связано с правилом 021, хотя не должно, потому что > keep-state должен создавать динамические правила. > Буду благодарен за ваши разъяснения!!
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
