Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
ниасилил 02.11.05 20:55 Число просмотров: 2167
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Недостаточно инфы для разумного ответа. Гипотеза: неправильные правила.
Где расположен сервер? в интра- или интернете? что такое $pif? каков конфиг natd?
Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)
Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. Обязательн оставим вокруг правил с check-state и дивертами.
Проверено - помогает. !0 раз так сделаешь - будешь в уме рулесеты дебажить. Да и то не всегда :)))
> Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен
> ipfw.
> Имееются набор правил:
> $cmd 014 divert natd log ip from any to any in via $pif
> $cmd 015 check-state
> $cmd 021 $skip tcp from any to any out via $pif keep-state
> $cmd 392 allow tcp from any to any 3389 in via $pif
> $cmd 800 divert natd log ip from any to any out via $pif
> $cmd 801 allow ip from any to any
>
> Понятно, что я привёл выборку из набора правил. Смысл в
> том, что мне нужно перебросить RDP на сервер MS. Данный
> набор правил работает но мне не понятно следующее:
> если заменить правило 392 на
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> keep-state или
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> limit src-addr 5 или
> $cmd 392 allow tcp from any to any 3389 in via $pif
> keep-state
> То не работает удалённый рабочий стол.
> Почему такая странная реакция на добавление keep-state
> правил?? Причём у меня сложилось мнение, что это правило
> связано с правилом 021, хотя не должно, потому что
> keep-state должен создавать динамические правила.
> Буду благодарен за ваши разъяснения!!
|
|
<sysadmin>
|
проблема с ipfw и redirect_port 01.11.05 11:47
Автор: travek Статус: Незарегистрированный пользователь
|
Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен ipfw.
Имееются набор правил:
$cmd 014 divert natd log ip from any to any in via $pif
$cmd 015 check-state
$cmd 021 $skip tcp from any to any out via $pif keep-state
$cmd 392 allow tcp from any to any 3389 in via $pif
$cmd 800 divert natd log ip from any to any out via $pif
$cmd 801 allow ip from any to any
Понятно, что я привёл выборку из набора правил. Смысл в том, что мне нужно перебросить RDP на сервер MS. Данный набор правил работает но мне не понятно следующее:
если заменить правило 392 на
$cmd 392 allow tcp from any to any 3389 in via $pif setup keep-state или
$cmd 392 allow tcp from any to any 3389 in via $pif setup limit src-addr 5 или
$cmd 392 allow tcp from any to any 3389 in via $pif keep-state
То не работает удалённый рабочий стол.
Почему такая странная реакция на добавление keep-state правил?? Причём у меня сложилось мнение, что это правило связано с правилом 021, хотя не должно, потому что keep-state должен создавать динамические правила.
Буду благодарен за ваши разъяснения!!
|
|
ниасилил 02.11.05 20:55
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Недостаточно инфы для разумного ответа. Гипотеза: неправильные правила.
Где расположен сервер? в интра- или интернете? что такое $pif? каков конфиг natd?
Общие рекомендации: берём бумажку, и на ней рисуем временную диаграмму прохождения пакета через рулесет. для каждого интерфейса. для трёх пакетов tcp-хендшейка. Итого 6 диаграмм.
для каждого правила пишем:
1. Был ли матч?
2. Если 1 то был ли акцепт/денай/диверт ?
3. Если диверт, был ли реврайт (натд далеко не всегда делает реврайт - толи только входящие, толи только исходящие - see man)
Находим ошибку.
Если не находим ошибку - значит неправильно построили диаграмму. Вставляем рулесы с кейвордом count и максимально специфическими адресам для матча (мы ведь знаем откуда идет тестовый коннкешен). Проверяем. Обязательн оставим вокруг правил с check-state и дивертами.
Проверено - помогает. !0 раз так сделаешь - будешь в уме рулесеты дебажить. Да и то не всегда :)))
> Есть такая проблема. Есть шлюз на FreeBSD 5.4, установлен
> ipfw.
> Имееются набор правил:
> $cmd 014 divert natd log ip from any to any in via $pif
> $cmd 015 check-state
> $cmd 021 $skip tcp from any to any out via $pif keep-state
> $cmd 392 allow tcp from any to any 3389 in via $pif
> $cmd 800 divert natd log ip from any to any out via $pif
> $cmd 801 allow ip from any to any
>
> Понятно, что я привёл выборку из набора правил. Смысл в
> том, что мне нужно перебросить RDP на сервер MS. Данный
> набор правил работает но мне не понятно следующее:
> если заменить правило 392 на
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> keep-state или
> $cmd 392 allow tcp from any to any 3389 in via $pif setup
> limit src-addr 5 или
> $cmd 392 allow tcp from any to any 3389 in via $pif
> keep-state
> То не работает удалённый рабочий стол.
> Почему такая странная реакция на добавление keep-state
> правил?? Причём у меня сложилось мнение, что это правило
> связано с правилом 021, хотя не должно, потому что
> keep-state должен создавать динамические правила.
> Буду благодарен за ваши разъяснения!!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
