forum.opennet.ru - "ipfw pipe и one

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw pipe и one_pass"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw pipe и one_pass"	+/–
Сообщение от morfey (ok) on 02-Дек-12, 04:49
Здравствуйте. Есть ipfw с dummynet. Все работает вот так: pipe 1022 config mask dst-ip 0xffffffff bw 10Mbit/s pipe 1023 config mask src-ip 0xffffffff bw 10Mbit/s pipe 1022 ip from any to table(101) out pipe 1023 ip from table(101) to any in allow ip from any to table(101) allow ip from table(101) to any ......... deny ip from any to any Потом както решил довести все до ума, увидел что one_pass = 1. Т.е. логически предположить что пакет дальше пайпа не пойдет и allow ip from any to table(101) можно убрать. Так и сделал. Все бы отлично, но, когда удаляю ип с таблицы то он все равно остается в пайпе и все пакеты смело пропускает, что делаю не так? Логично же, что при удалении ипа с таблицы он должен попасть в deny ip from any to any. Но ipfw pipe 1022 list \| grep IP говорит обратное.И причем этот ип попадает в последнее созданное правило пайпа :(
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw pipe и one_pass, DeadLoco, 06:21 , 02-Дек-12, (1)

ipfw pipe и one_pass, morfey, 15:21 , 02-Дек-12, (2)

ipfw pipe и one_pass, sirius, 15:51 , 02-Дек-12, (3)

ipfw pipe и one_pass, morfey, 15:54 , 02-Дек-12, (4)

ipfw pipe и one_pass, morfey, 17:35 , 02-Дек-12, (5)

ipfw pipe и one_pass, morfey, 00:52 , 04-Дек-12, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw pipe и one_pass" +/–

Сообщение от DeadLoco (ok) on 02-Дек-12, 06:21

> что делаю не так?
Нужно внимательно смотреть ipfw show/ipfw pipe show

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw pipe и one_pass" +/–

Сообщение от morfey (ok) on 02-Дек-12, 15:21

>> что делаю не так?
> Нужно внимательно смотреть ipfw show/ipfw pipe show
сейчас ип 91.234.0.234 попадает в 1026-1027 пайп.
ipfw pipe show - http://pastebin.com/bSjf1W3C
${fw} pipe 1002 config mask dst-ip 0xffffffff bw 256kbit/s
${fw} pipe 1003 config mask src-ip 0xffffffff bw 256kbit/s
${fw} pipe 1004 config mask dst-ip 0xffffffff bw 512kbit/s
${fw} pipe 1005 config mask src-ip 0xffffffff bw 512kbit/s
${fw} pipe 1006 config mask dst-ip 0xffffffff bw 1Mbit/s
${fw} pipe 1007 config mask src-ip 0xffffffff bw 1Mbit/s
${fw} pipe 1010 config mask dst-ip 0xffffffff bw 2Mbit/s
${fw} pipe 1011 config mask src-ip 0xffffffff bw 2Mbit/s
${fw} pipe 1016 config mask dst-ip 0xffffffff bw 5Mbit/s
${fw} pipe 1017 config mask src-ip 0xffffffff bw 5Mbit/s
${fw} pipe 1018 config mask dst-ip 0xffffffff bw 10Mbit/s
${fw} pipe 1019 config mask src-ip 0xffffffff bw 10Mbit/s
${fw} pipe 1020 config mask dst-ip 0xffffffff bw 20Mbit/s
${fw} pipe 1021 config mask src-ip 0xffffffff bw 20Mbit/s
${fw} pipe 1022 config mask dst-ip 0xffffffff bw 100Mbit/s
${fw} pipe 1023 config mask src-ip 0xffffffff bw 100Mbit/s
${fw} pipe 1024 config mask dst-ip 0xffffffff bw 31Mbit/s
${fw} pipe 1025 config mask src-ip 0xffffffff bw 31Mbit/s
${fw} pipe 1026 config mask dst-ip 0xffffffff bw 50Mbit/s
${fw} pipe 1027 config mask src-ip 0xffffffff bw 50Mbit/s

# ipfw list
00010 nat 10 ip from 10.10.0.0/16 to any
00011 nat 10 ip from any to 91.227.206.10
00071 allow ip from any to any via lo0
00072 allow icmp from any to any icmptypes 0,8,11
00074 deny ip from any to me dst-port 22 via igb1.1822
00074 deny ip from any to me dst-port 22 via igb1.36
00099 deny tcp from table(16) to any dst-port 25 via igb0
00100 allow ip from any to table(14)
00110 allow ip from table(14) to any
00120 allow ip from any to table(15)
00130 allow ip from table(15) to any
00201 pipe 1024 ip from any to table(18) out
00202 pipe 1025 ip from table(18) to any in
10000 pipe 1022 ip from any to table(101) out
10001 pipe 1023 ip from table(101) to any in
10002 allow ip from any to table(101)
10003 allow ip from table(101) to any
10004 pipe 1002 ip from any to table(2) out
10005 pipe 1003 ip from table(2) to any in
10006 allow ip from any to table(2)
10007 allow ip from table(2) to any
10008 pipe 1004 ip from any to table(3) out
10009 pipe 1005 ip from table(3) to any in
10010 allow ip from any to table(3)
10011 allow ip from table(3) to any
10012 pipe 1006 ip from any to table(4) out
10013 pipe 1007 ip from table(4) to any in
10014 allow ip from any to table(4)
10015 allow ip from table(4) to any
10020 pipe 1010 ip from any to table(6) out
10021 pipe 1011 ip from table(6) to any in
10022 allow ip from any to table(6)
10023 allow ip from table(6) to any
10032 pipe 1016 ip from any to table(9) out
10033 pipe 1017 ip from table(9) to any in
10034 allow ip from any to table(9)
10035 allow ip from table(9) to any
10036 pipe 1018 ip from any to table(10) out
10037 pipe 1019 ip from table(10) to any in
10038 allow ip from any to table(10)
10039 allow ip from table(10) to any
10040 pipe 1020 ip from any to table(11) out
10041 pipe 1021 ip from table(11) to any in
10042 allow ip from any to table(11)
10043 allow ip from table(11) to any
10046 allow ip from any to table(12)
10047 allow ip from table(12) to any
10048 pipe 1026 ip from any to table(100) out
10049 pipe 1027 ip from table(100) to any in
10050 allow ip from any to table(100)
10051 allow ip from table(100) to any
10052 pipe 1026 ip from any to table(17) out
10053 pipe 1027 ip from table(17) to any in
10054 allow ip from any to table(17)
10055 allow ip from table(17) to any
65535 deny ip from any to any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw pipe и one_pass" +/–

Сообщение от sirius (??) on 02-Дек-12, 15:51

Покажите таблицу 100 и 17.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipfw pipe и one_pass" +/–

Сообщение от morfey (ok) on 02-Дек-12, 15:54

> Покажите таблицу 100 и 17.
http://pastebin.com/JkXujtef
Там нет этого ip :(

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipfw pipe и one_pass" +/–

Сообщение от morfey (ok) on 02-Дек-12, 17:35

Мысли в слух.
Не может быть такого что я с этого ипа захожу на серв и он держит соединение в пайпах... как-то так... Просто не знаю куда рыть..

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipfw pipe и one_pass" +/–

Сообщение от morfey (ok) on 04-Дек-12, 00:52

Кстати, у меня net.inet.ip.dummynet.expire=1
т.е. пока бегает траффик, сессия не прекратится?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw pipe и one_pass"	+/–
Сообщение от DeadLoco (ok) on 02-Дек-12, 06:21
> что делаю не так? Нужно внимательно смотреть ipfw show/ipfw pipe show
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw pipe и one_pass"	+/–
	Сообщение от morfey (ok) on 02-Дек-12, 15:21
	>> что делаю не так? > Нужно внимательно смотреть ipfw show/ipfw pipe show сейчас ип 91.234.0.234 попадает в 1026-1027 пайп. ipfw pipe show - http://pastebin.com/bSjf1W3C ${fw} pipe 1002 config mask dst-ip 0xffffffff bw 256kbit/s ${fw} pipe 1003 config mask src-ip 0xffffffff bw 256kbit/s ${fw} pipe 1004 config mask dst-ip 0xffffffff bw 512kbit/s ${fw} pipe 1005 config mask src-ip 0xffffffff bw 512kbit/s ${fw} pipe 1006 config mask dst-ip 0xffffffff bw 1Mbit/s ${fw} pipe 1007 config mask src-ip 0xffffffff bw 1Mbit/s ${fw} pipe 1010 config mask dst-ip 0xffffffff bw 2Mbit/s ${fw} pipe 1011 config mask src-ip 0xffffffff bw 2Mbit/s ${fw} pipe 1016 config mask dst-ip 0xffffffff bw 5Mbit/s ${fw} pipe 1017 config mask src-ip 0xffffffff bw 5Mbit/s ${fw} pipe 1018 config mask dst-ip 0xffffffff bw 10Mbit/s ${fw} pipe 1019 config mask src-ip 0xffffffff bw 10Mbit/s ${fw} pipe 1020 config mask dst-ip 0xffffffff bw 20Mbit/s ${fw} pipe 1021 config mask src-ip 0xffffffff bw 20Mbit/s ${fw} pipe 1022 config mask dst-ip 0xffffffff bw 100Mbit/s ${fw} pipe 1023 config mask src-ip 0xffffffff bw 100Mbit/s ${fw} pipe 1024 config mask dst-ip 0xffffffff bw 31Mbit/s ${fw} pipe 1025 config mask src-ip 0xffffffff bw 31Mbit/s ${fw} pipe 1026 config mask dst-ip 0xffffffff bw 50Mbit/s ${fw} pipe 1027 config mask src-ip 0xffffffff bw 50Mbit/s # ipfw list 00010 nat 10 ip from 10.10.0.0/16 to any 00011 nat 10 ip from any to 91.227.206.10 00071 allow ip from any to any via lo0 00072 allow icmp from any to any icmptypes 0,8,11 00074 deny ip from any to me dst-port 22 via igb1.1822 00074 deny ip from any to me dst-port 22 via igb1.36 00099 deny tcp from table(16) to any dst-port 25 via igb0 00100 allow ip from any to table(14) 00110 allow ip from table(14) to any 00120 allow ip from any to table(15) 00130 allow ip from table(15) to any 00201 pipe 1024 ip from any to table(18) out 00202 pipe 1025 ip from table(18) to any in 10000 pipe 1022 ip from any to table(101) out 10001 pipe 1023 ip from table(101) to any in 10002 allow ip from any to table(101) 10003 allow ip from table(101) to any 10004 pipe 1002 ip from any to table(2) out 10005 pipe 1003 ip from table(2) to any in 10006 allow ip from any to table(2) 10007 allow ip from table(2) to any 10008 pipe 1004 ip from any to table(3) out 10009 pipe 1005 ip from table(3) to any in 10010 allow ip from any to table(3) 10011 allow ip from table(3) to any 10012 pipe 1006 ip from any to table(4) out 10013 pipe 1007 ip from table(4) to any in 10014 allow ip from any to table(4) 10015 allow ip from table(4) to any 10020 pipe 1010 ip from any to table(6) out 10021 pipe 1011 ip from table(6) to any in 10022 allow ip from any to table(6) 10023 allow ip from table(6) to any 10032 pipe 1016 ip from any to table(9) out 10033 pipe 1017 ip from table(9) to any in 10034 allow ip from any to table(9) 10035 allow ip from table(9) to any 10036 pipe 1018 ip from any to table(10) out 10037 pipe 1019 ip from table(10) to any in 10038 allow ip from any to table(10) 10039 allow ip from table(10) to any 10040 pipe 1020 ip from any to table(11) out 10041 pipe 1021 ip from table(11) to any in 10042 allow ip from any to table(11) 10043 allow ip from table(11) to any 10046 allow ip from any to table(12) 10047 allow ip from table(12) to any 10048 pipe 1026 ip from any to table(100) out 10049 pipe 1027 ip from table(100) to any in 10050 allow ip from any to table(100) 10051 allow ip from table(100) to any 10052 pipe 1026 ip from any to table(17) out 10053 pipe 1027 ip from table(17) to any in 10054 allow ip from any to table(17) 10055 allow ip from table(17) to any 65535 deny ip from any to any
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipfw pipe и one_pass"	+/–
	Сообщение от sirius (??) on 02-Дек-12, 15:51
	Покажите таблицу 100 и 17.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ipfw pipe и one_pass"	+/–
	Сообщение от morfey (ok) on 02-Дек-12, 15:54
	> Покажите таблицу 100 и 17. http://pastebin.com/JkXujtef Там нет этого ip :(
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ipfw pipe и one_pass"	+/–
	Сообщение от morfey (ok) on 02-Дек-12, 17:35
	Мысли в слух. Не может быть такого что я с этого ипа захожу на серв и он держит соединение в пайпах... как-то так... Просто не знаю куда рыть..
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ipfw pipe и one_pass"	+/–
	Сообщение от morfey (ok) on 04-Дек-12, 00:52
	Кстати, у меня net.inet.ip.dummynet.expire=1 т.е. пока бегает траффик, сессия не прекратится?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору