nechodici pravidla IPFW2

milan.cizek at up.mpsv.cz milan.cizek at up.mpsv.cz
Mon Jun 30 10:40:14 CEST 2003


> tady by se hodilo taky vedet co dela ten preklad, cili s 
> jakymi parametry je spustenej  natd. Hadam, ze problem je v 
> tom, ze jste si neuvedomil, ze pravidla 100 a vyse (za 
> divert) zkoumaji ten paket uz prelozeny. Ale to se neda 
> poznat, bez shlednuti konfigurace natu.

Ahoj,
natd spoustim klasickym povolenim v rc.conf (natd_enable="YES"
natd_interface="wi0"), zadne flags nenastavuju (takze default).
firewall_type odkazuje na muj vlastni soubor s pravidly, do ktereho jsem
prekopiroval zahlavi puvodniho rc.firewall (nacteni promenych z rc.conf,
loopback pravidla, divert natd pravidlo).

Trochu vic jsem s tim laboroval a podle citace paketu zjistil nasledujici
(pisu z hlavy, doufam ze spravne):

00050 divert 8668 ip from any to any via wi0
...
00600 allow ip from any to 10.0.1.10 via wi0  // funguje, tedy povoluje
00601 allow ip from 10.0.1.10 to any via wi0  // nezpracuje zadny paket
...
01000 deny ip from any to any via wi0

Takze problem je asi skutecne na pravidlu odchozi komunikace. Pokud totiz
zaverecne pravidlo pozmenim na: deny ip from any to any in via wi0, zacne mi
filtr fungovat.

Ja bych ale chtel rozhodovat o obouch smerech, ne jen povolenim/zakazem,
nasledne ale treba take dynamickym urcovanim sirky pasma. Otazka tedy asi
zni, jak napsat pravidlo pro odchozi tok pres NAT. Zatim diky.

Milan



More information about the Users-l mailing list