RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : И меня учим файрволам

From	:	alexadmin, 2:5030/1468
To	:	Improver
Subj	:	И меня учим файрволам

> > > А в fwlog.cnf какой левел выставлен?
> > Мнэ... никакого. По дефолту. Когда я настраивал, то видел пакеты, которые отфильтровались. Так что в лог они попадали при умолчательных настройках. А здесь пакеты не фильтруются. Она просто проходят с одного интерфейса, а до другого не доходят как будто.
>
> Вот пропиши в файле fwlog.cnf строку "level=10" и будешь видеть всё. (он лежит в х:\MPTN\ETC, если его там нет, то сделай) И не забудь после этого перегрузиться.

Попробовал. Никаких новых сообщений я там не увидел при этом. Помучавшись чуть-чуть обнаружил, что рутинг ломается при приходе пакетов, которые подпадают под deny.
У меня было вот такое правило - впускать ответы http только на локальную машину (стоит прокси)
# http
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 both both outbound
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 both local inbound

Если из локальной сети кто-то директом ходил на хттп, то это попадало в лог
29.03.07 05.11.25 ICA1041w: Denied packet in. Rule: 52 Source addr: 62.152.64.108 Destination addr: 192.168.0.8 Protocol: tcp Source port: 80 Destination Port: 2705 Routing: route Interface: non-secure Adapter: 84.17.27.215 Fragment: n Tunnel: 0 Encryption: n Size: 48.

после чего форвардинг и пропадал. Хороший такой файрвол, который не дав врагу пробраться, помирает сам ;-) Правда через некоторое случайное время все восстанавливалось. После того, как разрешил сквозное хождение пакетов, все нормализовалось. Вот так сделал
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 both both outbound
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 both local inbound
permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 non-secure both inbound
permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp/ack eq 80 gt 1023 secure route outbound

Но при этом, если файрвол запретить (cfgfilt -c) или не запускать при старте системы, то все, ахтунг. Пакеты между интерфейсами не ходят совсем. В общем бред какой-то. Ничего не понимаю.
Кто не жадный, киньте свои настройки файрвола, желательно с учетом динамически меняющегося адреса на одном из интерфейсов. Может я чего делаю совсем не так...

PS Или может я зря написал tcp/ack и надо везде tcp писать? Как-то я этот момент не очень осознал.

Thu 29 Mar 2007 15:34

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7)

И меня учим файрволам (alexadmin, 28.03.07 10:17)
- И меня учим файрволам (sy-uname, 28.03.07 10:44)
  - И меня учим файрволам (alexadmin, 28.03.07 10:48)
    - И меня учим файрволам (Improver, 28.03.07 14:20)
      - И меня учим файрволам (alexadmin, 28.03.07 15:02)
        
        И меня учим файрволам (Improver, 28.03.07 15:21)
        
        И меня учим файрволам (alexadmin, 29.03.07 15:34)
        
        хороший пример (oleandr, 30.03.07 09:47)
        
        Версия файрвола (alexadmin, 02.04.07 13:21)
        
        Версия файрвола (oleandr, 03.04.07 10:26)
        
        Может не в файрволе дело? (VicTor, 04.04.07 21:26)
        
        Может не в файрволе дело? (alexadmin, 05.04.07 10:30)
        
        Может не в файрволе дело? (VicTor, 06.04.07 21:11)
        
        Может не в файрволе дело? (Alexey Bezditko, 07.04.07 17:50)
  - И меня учим файрволам (oleandr, 28.03.07 16:14)
- И меня учим файрволам (Nikolay, 29.03.07 12:06)

Список сообщений \| Написать новое \| Ответить на сообщение \| Домой	Поиск:
Предыдущее сообщение \| Следующее сообщение