RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : SafeFire firewall -- traffic shaper и port mapper (+)


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : valerius
To : All
Subj : SafeFire firewall -- traffic shaper и port mapper (+)
-- у кого-нибудь работает?

1) Port mapper.

В sfire.cfg стоит такая вещь:

[-----------------------------cut sfire.cfg---------------------------------]
[portmap] ; Port mapping rules. NOTE: Portmapper requires enabled NAT!

; rules needed to support nassi
; in Virtual PC under Win98:
rule = 192.168.11.50:50138,192.168.10.32:50138 udp 2
rule = 192.168.11.50:50138,192.168.10.32:50138 tcp 2
rule = 192.168.11.50:137,192.168.10.32:137 udp 5
rule = 192.168.11.50:137,192.168.10.32:137 tcp 5

;For InetAccess:
rule = 192.168.2.39:5554,192.168.10.32:5554 udp 2
rule = 192.168.2.39:5554,192.168.10.32:5554 tcp 2
[-----------------------------end cut---------------------------------]

Примечание: Интерфейс, на котором работает файерволл -- 192.168.2.39 --
смотрит в сеть провайдера (192.168.2.0/24 -- HomeLAN);
специально для виртуальной машины, в которой запущена Вин98 (адрес вирт.
машины: 192.168.10.32, находящейся в моей домашней внутренней сети:
192.168.10.0/24), на интерфейсе файерволла поднят алиас: 192.168.11.50 из
сетки 192.168.11.0/24 -- подсеть, находящаяся в сети провайдера (это просто
неиспользуемый диапазон адресов для тестовых надобностей).

Таким образом, для двух программ (виндозных) -- 2 группы правил, привязывающих
открытые порты программ под Virtual PC к IP-адресу алиаса или (во 2-м случае) --
к IP-адресу файерволла.

Проверяем:

[-----------------begin cut------------------------]
[D:\]sfadm map list
> map list
Portmap Rules
[2053640] 192.168.2.39 : 5554 -> 192.168.10.32 : 5554 (udp)
[2053784] 192.168.2.39 : 5554 -> 192.168.10.32 : 5554 (tcp)
[2053712] 192.168.2.39 : 5555 -> 192.168.10.32 : 5555 (udp)
[2053928] 192.168.2.39 : 5555 -> 192.168.10.32 : 5555 (tcp)
[2052560] 192.168.11.50 : 137 -> 192.168.10.32 : 137 (udp)
[2052920] 192.168.11.50 : 137 -> 192.168.10.32 : 137 (tcp)
[2052632] 192.168.11.50 : 138 -> 192.168.10.32 : 138 (udp)
[2053064] 192.168.11.50 : 138 -> 192.168.10.32 : 138 (tcp)
[2052704] 192.168.11.50 : 139 -> 192.168.10.32 : 139 (udp)
[2053208] 192.168.11.50 : 139 -> 192.168.10.32 : 139 (tcp)
[2052776] 192.168.11.50 : 140 -> 192.168.10.32 : 140 (udp)
[2053352] 192.168.11.50 : 140 -> 192.168.10.32 : 140 (tcp)
[2052128] 192.168.11.50 : 50138 -> 192.168.10.32 : 50138 (udp)
[2052272] 192.168.11.50 : 50138 -> 192.168.10.32 : 50138 (tcp)
[2052848] 192.168.11.50 : 141 -> 192.168.10.32 : 141 (udp)
[2053496] 192.168.11.50 : 141 -> 192.168.10.32 : 141 (tcp)
[2052200] 192.168.11.50 : 50139 -> 192.168.10.32 : 50139 (udp)
[2052416] 192.168.11.50 : 50139 -> 192.168.10.32 : 50139 (tcp)
OK
[-----------------end cut------------------------]

-- Так что портмаппинги прописались.
Но вот проверяем командой netstat -s
-- открытых указанных портов в списке нету и вообще
обе виндовые программы не работают :((

Причем файерволл, как я понял, просто сразу удаляет NAT links
для этих правил портмаппера (что видно по отладочным сообщениям),
и не добавляет их впоследствии, когда надо.

2) Traffic shaper
Тут стоят такие настройки:

[-----------------begin cut------------------------]
[shaper] ; Traffic shaper
; Sleeping time in ms within the shaper loop (def is 1)
;sleep=

; Constrain speed for windoze to 16 Kbps
pipe = 1 speed 16 Kbps
[-----------------end cut--------------------------]

И в фильтре такое правило:

[-----------------begin cut------------------------]
; constrain throughput for windoze to 16 Kbps ;) :
rule = 00070 pipe 1 ip from any to 192.168.10.32 bidi
[-----------------end cut--------------------------]

Трафик проходит через "трубу", но ничего не идет
-- даже пинг не проходит.

[-----------------begin cut------------------------]
[D:\]sfadm pipe list
> pipe list
Pipe
00001 speed 16 Kbps
OK
[-----------------end cut--------------------------]

По статистике, скорость 95 байт в секунду :)
[-----------------begin cut------------------------]
> stat shaper
Pipes
1: Piped: 19, Lost: 0, Current speed 95 b/s
OK
[-----------------end cut--------------------------]

ЗЫ
NAT, естественно, у меня включен и нормально работает,
SFF версии 1.2.2beta, sfire.exe от 1 июля 2004.
Те же баги и в других версиях (более старых) sfire.exe


ЗЗЫ
2zuko:

Напишу скоро тебе письмо :)
Я там уже багов 6 наверное, нашел,
и причем, почти во всех фичах файерволла :)
В том числе, насчет плагинов :)

Валерий

Tue 02 Nov 2004 11:40 Mozilla/5.0 (OS/2; U; Warp 4.5; ru-RU; rv:1.7) Gecko/2004061



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.