IPFW - pravidla

Aleš Kotmel Kotmel at annexnet.cz
Wed Jun 14 08:33:04 CEST 2000

Previous message: Groff parametry : Re: Jak lze precist z WinNT, UFS partition ?
Next message: IPFW - pravidla
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Napsal jsem si následující  filtrovací pravidla:

00100 divert 8668 ip from any to any via fxp0
00200 allow ip from any to any via lo0
00300 deny ip from any to 127.0.0.0/8
00400 allow ip from 192.168.1.0/24 to any in recv fxp1
00500 allow ip from any to 192.168.1.0/24 out xmit fxp1
00600 allow tcp from 195.250.137.147 to any 80 out xmit fxp0
00700 allow tcp from any 80 to 195.250.137.147 in recv fxp0 established
00800 allow udp from any to any
00900 allow icmp from 195.250.137.147 to any out xmit fxp0 icmptype 8
01000 allow icmp from any to 195.250.137.147 in recv fxp0 icmptype 0
01100 allow log logamount 100 tcp from any to any
01200 allow log logamount 100 icmp from any to any
65535 deny ip from any to any

a v souboru rc.conf zadal spuštění ipfw a natd:

ifconfig_fxp0="inet 195.250.137.147 netmask 255.255.255.224"
ifconfig_fxp1="inet 192.168.1.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/folder/firewall"
natd_enable="YES"


natd se spustí s parametrem:

/sbin/natd -n fxp0 

Pokud zkusím příkaz ping z vnitřní sítě, paket správně odchází přes pravidlo
900. Zpět se ale paket nevrací přes pravidlo 1000, ale přes pravidlo 1200. 
Obdobně pro TCP spojení paket správně odchází přes pravidlo 600 a zpět se
nevrací přes pravidlo 700, ale přes pravidlo 1100.

Do souboru security se zapíše:

Jun 14 08:08:45 gw /kernel: ipfw: 1200 Accept ICMP:0.0 194.228.2.1
192.168.1.14 in via fxp0
Jun 14 08:08:48 gw last message repeated 2 times
Jun 14 08:09:51 gw /kernel: ipfw: 1100 Accept TCP 195.250.128.35:21
192.168.1.14:1110 in via fxp0
Jun 14 08:09:51 gw /kernel: ipfw: 1100 Accept TCP 195.250.128.35:21
192.168.1.14:1110 in via fxp0
Jun 14 08:09:51 gw /kernel: ipfw: 1100 Accept TCP 195.250.128.35:21
192.168.1.14:1110 in via fxp0
Jun 14 08:09:51 gw /kernel: ipfw: limit 100 reached on entry 1100

Zdá se mi, že při návratu paketu z Internetu zpět nedojde ke zpětnému
překladu cílové adresy 195.250.137.147 na adresu zdrojovou z lokální síti
192.168.1.14.

Nevíte někdo, kde může být chyba?

Děkuji za případnou odpověď.

------------------------------------------------------
Aleš Kotmel           mailto:kotmel at annexnet.cz
Annex NET, s.r.o.   http://www.annexnet.cz
Radlická 61            Tel.: +420 2 5155 3033
150 00 Praha 5       Fax: +420 2 5731 0851
------------------------------------------------------

Previous message: Groff parametry : Re: Jak lze precist z WinNT, UFS partition ?
Next message: IPFW - pravidla
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list