ipfw pbr

Обсуждаем OS FreeBSD и сервисы на ней.

ipfw pbr

Сообщение makky » 18 май 2010, 07:37

Сделал вот так:

Код: Выделить всё
${ipfw} add 00060 fwd GW2 ip from REAL_IP2 to any via vlan10
${ipfw} add 00061 fwd GW2 ip from any to REAL_IP2 via vlan10

Далее идут правила, касающиеся канала 1.

Пытаюсь пинговать машину через канал 2, и получаю ответ, от гейта канала 2 TTL expired.
Что делается не так? Правило с действием fwd выводит пакет из фаирвола, счетчики ipfw показывают вполне адекватную информацию. А вот в tcpdump тишина =(
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk

Re: ipfw pbr

Сообщение lehisnoe » 18 май 2010, 08:36

Для начала я бы рекомендовал бы в правила добавить логгирование и убрать оттуда via, например:
Код: Выделить всё
${ipfw} add 00060 fwd GW2 log ip from REAL_IP2 to any
${ipfw} add 00061 fwd GW2 log ip from any to REAL_IP2

И смотреть в /var/log/security, через какие интерфейсы идут пакеты к/от REAL_IP2
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ipfw pbr

Сообщение root » 18 май 2010, 09:00

+ какие правила идут ДО этих ?

Код: Выделить всё
ipfw show

в студию
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ipfw pbr

Сообщение makky » 18 май 2010, 15:12

Вот вывод сначала или все показать вообще?
Код: Выделить всё
00010         0            0 count ip from any to IP1 dst-port 25 via vlan20
00015         0            0 count ip from IP1 25 to any via vlan20
00020         0            0 count ip from any to 192.168.5.0/24 dst-port 3389 via vlan20
00025         0            0 count ip from 192.168.5.0/24 3389 to any via vlan20
00030      5456      5925674 count ip from any to any in via vlan20
00035      4123       707242 count ip from any to any out via vlan20
00060         3          436 fwd GW2 ip from IP2 to any
00061        49         2940 fwd GW2 ip from any to IP2
00065         0            0 allow ip from any to any via vlan10

Ситуация изменилась:
Код: Выделить всё
[max@storage ~]$ ssh IP2
ssh: connect to host IP2 port 22: No route to host


Или вот:
Код: Выделить всё
00060         9         1566 fwd GW2 ip from IP2 to any via vlan10
00061       333        16884 fwd GW2 ip from any to IP2 via vlan10
00065         0            0 allow ip from any to any via vlan10

Тогда:
Код: Выделить всё
ssh IP2
ssh: connect to host IP2 port 22: Operation timed out
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk

Re: ipfw pbr

Сообщение lehisnoe » 18 май 2010, 16:42

Код: Выделить всё
00060         3          436 fwd GW2 ip from IP2 to any
00061        49         2940 fwd GW2 ip from any to IP2

Дааа... Я красавец, слов нету (нафига же отправлять пакеты, предназначенные адресу IP2 на его GW2) :))

61 правило замени на
Код: Выделить всё
00061        49         2940 allow ip from any to IP2
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ipfw pbr

Сообщение makky » 19 май 2010, 10:51

Да работает. Что-то я не подумал о том, что я именно делаю в этом чудо-правиле №61 :oops:

Только я не очень понимаю: почему, если я добавляю больше конкретики и указываю явно интерфейсы, через которые должен идти этот трафик, то все оно умирает :?:
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk

Re: ipfw pbr

Сообщение lehisnoe » 19 май 2010, 11:08

Только я не очень понимаю: почему, если я добавляю больше конкретики и указываю явно интерфейсы, через которые должен идти этот трафик, то все оно умирает

А ты логгирование в правилах, о котором я писал выше, включал?
Код: Выделить всё
${ipfw} add 00060 fwd GW2 log ip from REAL_IP2 to any
${ipfw} add 00061 allow log ip from any to REAL_IP2

И смотрел в /var/log/security, через какие интерфейсы идут пакеты к/от REAL_IP2?
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ipfw pbr

Сообщение makky » 19 май 2010, 11:13

lehisnoe писал(а):А ты логгирование в правилах, о котором я писал выше, включал?

:oops: не-а, забыл о нём :lol:

lehisnoe писал(а):
Код: Выделить всё
${ipfw} add 00060 fwd GW2 log ip from REAL_IP2 to any
${ipfw} add 00061 allow log ip from any to REAL_IP2

И смотрел в /var/log/security, через какие интерфейсы идут пакеты к/от REAL_IP2?

Да, смотрел. Тишина на всех была, оттого и затупил :roll:
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk


Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 11

cron