|
Efendy
|
 |
« Ответ #30 : 24 Февраля 2010, 09:31:44 » |
|
и как мы увидим твои счетчики если есть 41 правило? ipfw delete 40
ipfw delete 41
ipfw zero
sleep 30
ipfw show |
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
 Offline
Сообщений: 9
|
|
« Ответ #31 : 24 Февраля 2010, 11:07:23 » |
|
00050 7 332 allow tcp from any to me dst-port 22
00051 9 876 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 68 4168 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 0 0 deny ip from any to table(120)
00150 0 0 deny ip from table(120) to any
00160 0 0 skipto 2000 ip from any to me
00200 1 68 skipto 500 ip from any to any via bge0
00300 1 68 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 1 68 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
32490 1 68 deny ip from any to any
65535 1 68 allow ip from any to any
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #32 : 24 Февраля 2010, 11:22:21 » |
|
так хорошо начал приводить конфиги, а тут такую фигню городишь. Ты действительно хочешь решить свою проблему или хочется пообщаться? Почему в предыдущем примере есть правила от nofire.pl (33001,33002 и т.д), а в этом нет? Почему не организовал трафик в эти 30 секунд? Ведь я ясно сказал, что мне нужны значения счетчиков. Продолжаем играться дальше....
|
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 9
|
|
« Ответ #33 : 24 Февраля 2010, 11:57:42 » |
|
сорь протупил, я просто перезапустил фаирволл, а нофаир не успел создать правила (утро, не проснулся еще видимо)) вот ipfw list 00050 7 332 allow tcp from any to me dst-port 22
00051 8 784 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 60 3752 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 0 0 deny ip from any to table(120)
00150 0 0 deny ip from table(120) to any
00160 0 0 skipto 2000 ip from any to me
00200 6 502 skipto 500 ip from any to any via bge0
00300 6 502 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 6 502 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 2 200 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 4 302 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 4 302 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 2 200 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 4 302 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 2 200 allow ip from any to any
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #34 : 24 Февраля 2010, 12:14:03 » |
|
ipfw add 5031 allow ip from "table(11)" to any
ipfw add 33010 allow ip from any to "table(10)" так работает? (без шейпов ессно) |
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 9
|
|
« Ответ #35 : 24 Февраля 2010, 12:30:14 » |
|
не работает, но в таблицах 10, 11 записи есть
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #36 : 24 Февраля 2010, 17:18:26 » |
|
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
|
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 9
|
|
« Ответ #37 : 25 Февраля 2010, 18:47:42 » |
|
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
по всей видимости нет в мир не уходят, на внешнем интерфейсе тишина вот ipfw list с большим к-вом трафика 00050 74 4068 allow tcp from any to me dst-port 22
00051 95 17576 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 194 15664 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 0 0 skipto 2000 ip from any to me
00200 307 24806 skipto 500 ip from any to any via bge0
00300 307 24806 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 166 16486 skipto 32500 ip from any to any in
00510 141 8320 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01010 0 0 allow ip from any to table(11)
01010 0 0 allow ip from table(11) to any
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 147 15044 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 160 9762 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 160 9762 pipe tablearg ip from table(11) to any
10101 0 0 allow ip from any to table(11)
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 147 15044 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33400 0 0 pipe tablearg ip from any to table(10)
65535 166 16486 allow ip from any to any
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #38 : 25 Февраля 2010, 21:54:01 » |
|
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
по всей видимости нет это отличный ответ, но нужен точный. Поставь с клиентской машины пинг ya.ru и запусти |
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 9
|
|
« Ответ #39 : 25 Февраля 2010, 23:27:26 » |
|
я так и делал в мир не уходят, на внешнем интерфейсе тишина в /etc/rc.firewall заменил все divert на tee заработало! ipfw show 00050 49 3000 allow tcp from any to me dst-port 22
00051 43 5812 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 266 144204 allow ip from any to any via lo0
00120 575 52871 skipto 1000 ip from me to any
00130 5 340 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 579 82654 skipto 2000 ip from any to me
00200 3646 2132390 skipto 500 ip from any to any via bge0
00300 1845 300082 skipto 4500 ip from any to any in
00400 1801 1832308 skipto 450 ip from any to any recv bge0
00420 0 0 tee 1 ip from any to any
00450 1801 1832308 tee 2 ip from any to any
00490 1801 1832308 allow ip from any to any
00500 1815 1833378 skipto 32500 ip from any to any in
00510 1831 299012 tee 1 ip from any to any
00540 1831 299012 allow ip from any to any
01000 148 23455 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 587 81524 allow udp from any to any keep-state
01100 119 7136 allow ip from any to any
02000 0 0 check-state
02010 120 7254 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 11 5856 deny ip from any to any via bge0
02060 166 10190 allow udp from any to any dst-port 53,7723
02100 3 110 deny ip from any to any
05000 5 428 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 1840 299654 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 1840 299654 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 1806 1832736 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 9 642 deny ip from any to any
33400 1801 1832308 pipe tablearg ip from any to table(10)
65535 5 428 allow ip from any to any
только вот странно, что в 420 правиле счетчик на нуле |
|
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #40 : 25 Февраля 2010, 23:44:18 » |
|
неиспользуй tee, сервер зависнет через некоторое времмя
(испытано на своей сети)
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #41 : 26 Февраля 2010, 00:38:10 » |
|
tee - это дубликат пакета. Раз не работало без него, значит ipcad не возвращал пакет в фаервол. Трафик точно считается?
|
|
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #42 : 26 Февраля 2010, 00:58:04 » |
|
tee - это дубликат пакета.
я знаю. тогда когда я делал под себя фаер, то заюзал tee. после последнього ребуту и запуска сателита в действее, через 5 часов ipcad сожрал 99% проца и памяти и сервак завис. |
|
|
|
|
Записан
|
|
|
|
HIT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 9
|
|
« Ответ #43 : 26 Февраля 2010, 07:57:59 » |
|
tee - это дубликат пакета.
я знаю. тогда когда я делал под себя фаер, то заюзал tee. после последнього ребуту и запуска сателита в действее, через 5 часов ipcad сожрал 99% проца и памяти и сервак завис. Трафф считает причом на ура! Ммм ето вообще странно почему так тогда заработало! Подскажите теперь раз так работаек как сделать правильно(Чтоб не зависало!) PS глюков и зависаний не заметил ганяли серв по полной перегружали сколько могли!) |
|
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #44 : 26 Февраля 2010, 08:57:59 » |
|
собери ipcad чтоб divert работал
у меня такого небыло, чтоб divert неработал, возможно ты что то в настройке самого ipcad-у опускаеш
|
|
|
|
|
Записан
|
|
|
|
|
