Discussion:
przekierowanie na stronę c.d.
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
wrkilu
2006-09-14 18:13:49 UTC
Permalink
Chcę przekierować userów z wirusami na stronę informującą ich o tym odcinając
im przy tym pozostały ruch. Serwer ze stroną znajduje się w innej podsieci.
Pomyślałem więc, że zrobię to na ipnat+ipfw. Póki co ipnat mi pięknie
przekierowuje wszystkie wywołania www ludzi na stronę z moim info ale... Coś
to blokowanie pozostałego ruchu mi kuleje. Cały firewall (na ipfw) wyglądał
np. tak (gdy zablokowany był 1 user):
00001 977738 42264854 allow tcp from any to 210.137.92.142
00002 317799 407158477 allow tcp from 210.137.92.142 to any
00102 deny tcp from 10.5.34.67 to any
00202 deny tcp from any to 10.5.34.67

I co się okazało? ... że user ten w ogóle nie miał netu. NIe działało mu nic
(gg, p2p-ściąganie,www), nawet moja strona !(210.137.92.142) :( Czemu ???
Przecież allowuje mu tcp na tą stronę a dopiero wywołania na następne
denuje..a tu nie widział nawet mojej.

Reguła ipnat wyglądała tak: (jakby miało to w ogóle znaczenie):
rdr rl0 from 10.5.34.67/32 to any port = 80 -> 210.137.92.142 port 80 tcp
rdr rl0 from 10.5.34.67/32 to any port = 8080 -> 210.137.92.142 port 80 tcp

Jaka w ogóle jest kolejność przetwarzania ipnat i ipfw. Czy ten tandem może
się gryzie?
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
maciej
2006-09-15 12:33:24 UTC
Permalink
Post by wrkilu
Chcę przekierować userów z wirusami na stronę informującą ich o tym odcinając
im przy tym pozostały ruch. Serwer ze stroną znajduje się w innej podsieci.
Pomyślałem więc, że zrobię to na ipnat+ipfw. Póki co ipnat mi pięknie
przekierowuje wszystkie wywołania www ludzi na stronę z moim info ale... Coś
to blokowanie pozostałego ruchu mi kuleje. Cały firewall (na ipfw) wyglądał
00001 977738 42264854 allow tcp from any to 210.137.92.142
00002 317799 407158477 allow tcp from 210.137.92.142 to any
00102 deny tcp from 10.5.34.67 to any
00202 deny tcp from any to 10.5.34.67
I co się okazało? ... że user ten w ogóle nie miał netu. NIe działało mu nic
(gg, p2p-ściąganie,www), nawet moja strona !(210.137.92.142) :( Czemu ???
Przecież allowuje mu tcp na tą stronę a dopiero wywołania na następne
denuje..a tu nie widział nawet mojej.
rdr rl0 from 10.5.34.67/32 to any port = 80 -> 210.137.92.142 port 80 tcp
rdr rl0 from 10.5.34.67/32 to any port = 8080 -> 210.137.92.142 port 80 tcp
Jaka w ogóle jest kolejność przetwarzania ipnat i ipfw. Czy ten tandem może
się gryzie?
W ipfw jest brana _ostatnia_ pasujaca regula ( czyli ten deny).
Jezeli chcialbys aby zadziala regula allow to dodaj wpis quick
allow quick tcp....

Pozdrawiam
Maciej
Jacek Kotlarski
2006-09-15 14:32:53 UTC
Permalink
Dnia Fri, 15 Sep 2006 14:33:24 +0200
Post by maciej
Post by wrkilu
00001 977738 42264854 allow tcp from any to 210.137.92.142
00002 317799 407158477 allow tcp from 210.137.92.142 to any
00102 deny tcp from 10.5.34.67 to any
00202 deny tcp from any to 10.5.34.67
W ipfw jest brana _ostatnia_ pasujaca regula
Że co niby? Od kiedy?
Post by maciej
( czyli ten deny).
i dlatego licznik pakietów dla regułek deny wynosi 0 ?
Post by maciej
Jezeli chcialbys aby zadziala regula allow to dodaj wpis quick
allow quick tcp....
obawiam się, że w ipfw nie ma dyrektywy "quick", proponuję poczytać
dokumentację zamiast udzielać mylących odpowiedzi.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
wrkilu
2006-09-15 16:11:25 UTC
Permalink
poniżej wpadły pakiety do regułek deny tylko ze niedokladnie napisalem posta..
00001 977738 42264854 allow tcp from any to 210.137.92.142=20
00002 317799 407158477 allow tcp from 210.137.92.142 to any=20
00102 5465 456456 deny tcp from 10.5.34.67 to any=20
00202 64654 76765 deny tcp from any to 10.5.34.67
tyle ze uznajac rade z quick za bzdet dalej pozostaje bez podpowiedzi :)
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Piotr KUCHARSKI
2006-09-15 15:40:22 UTC
Permalink
Post by maciej
W ipfw jest brana _ostatnia_ pasujaca regula ( czyli ten deny).
Jezeli chcialbys aby zadziala regula allow to dodaj wpis quick
allow quick tcp....
Bzdura.

p.
--
http://freedns.sgh.waw.pl/ -- bezpłatny DNS.
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów.
http://42.pl/u/ -- skracacz URL-i.
Loading...