https://slinkov.ru/openforum/vsluhforumID1/78288.html Возникла проблема в непонимании логики работы ipfw freebsd 6. <br>(шлюз для интернет, dns,dhcp,vpn(pptp), два интерфейса: один в мир, другой в локалку)<br>Помогите, может что подсоветуете. <br>насколько мне известно, через ipfw пакеты могут проходить двумя способами<br>- попадать под первое же подходящее правило и покидать фаервол<br>- проходить по всем цепочкам правил, не зависимо удовлетворяют они его(пакет) или нет пока не встретится явно запрещающее правило.<br>Вопросы:<br>1 как проверить какой метод сейчас установлен?<br>2 В ситуации, когда пользователь подключается к интернет посредством pptp, и ему нужно разрешить обращатся к dns, разрешить в и с "мира" все, использовать divert natd, использовать pipe и queue - какой способ нужно использовать? <br><br>Я совершенно запутался с пониманием последовательности обработки в ситуации<br>- когда пакеты проходят от пользователей через созданные vpn туннели. Как и через что они попадают в ipfw. <br>3 Между клиентом в локалке и ВПНсервером начинают ходить gre пакеты между айпи локально https://slinkov.ru/openforum/vsluhforumID1/78288.html#3 Thu, 17 Jan 2008 13:11:46 GMT &gt;А вот все тот же "skipto номер" <br>&gt;Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает <br>&gt;на указанный номер. Там обрабатывается снова, и , если skipto в <br>&gt;правиле нет и правило ему удовлетворяет - он покидает ipfw? <br>&gt;<br><br>да что такое обрабатывается то? Пакет =сверяется= с правилом и если подходит - улетает на правило номер N, а там дальше идёт до совпадения.<br><br><br>&gt;<br>&gt;и еще: <br>&gt;Если sysctl net.inet.ip.fw.one_pass=0 <br>&gt;то пакет после (например) правил с pipe не покидает фаервол - <br>&gt;а следует до следующего, удовлетворяющего правила и лишь там уходит или <br>&gt;блокируется? <br>&gt;<br>&gt;Я правильно понял? <br><br>правильно<br><br><br>&gt;<br>&gt;<br>&gt;Спасибо за ответы. https://slinkov.ru/openforum/vsluhforumID1/78288.html#2 Thu, 17 Jan 2008 12:00:13 GMT Спасибо за ответ, зацеплюсь за net.inet.ip.fw.one_pass и думаю у меня все получится.<br><br>А вот все тот же "skipto номер"<br>Пакет доходит до правила в котором есть skipto обрабатывается им и прыгает на указанный номер. Там обрабатывается снова, и , если skipto в правиле нет и правило ему удовлетворяет - он покидает ipfw? <br> <br><br>и еще:<br>Если sysctl net.inet.ip.fw.one_pass=0 <br>то пакет после (например) правил с pipe не покидает фаервол - а следует до следующего, удовлетворяющего правила и лишь там уходит или блокируется? <br><br>Я правильно понял?<br><br><br>Спасибо за ответы.<br><br> https://slinkov.ru/openforum/vsluhforumID1/78288.html#1 Thu, 17 Jan 2008 07:30:09 GMT &gt;Возникла проблема в непонимании логики работы ipfw freebsd 6. <br>&gt;(шлюз для интернет, dns,dhcp,vpn(pptp), два интерфейса: один в мир, другой в локалку) <br>&gt;<br>&gt;Помогите, может что подсоветуете. <br>&gt;насколько мне известно, через ipfw пакеты могут проходить двумя способами <br>&gt;- попадать под первое же подходящее правило и покидать фаервол <br>&gt;- проходить по всем цепочкам правил, не зависимо удовлетворяют они его(пакет) или <br>&gt;нет пока не встретится явно запрещающее правило. <br><br>неа, пакет выходит из ipfw как только попадает в подходящее правило<br>кроме случаев, когда используются шейперы с выключенным net.inet.ip.fw.one_pass<br><br>&gt;Вопросы: <br>&gt;1 как проверить какой метод сейчас установлен? <br><br>sysctl net.inet.ip.fw.one_pass<br><br>если 0 - на выходе пайпа идти дальше по следующим правилам вниз<br><br>&gt;2 В ситуации, когда пользователь подключается к интернет посредством pptp, и ему <br>&gt;нужно разрешить обращатся к dns, разрешить в и с "мира" все, <br>&gt;использовать divert natd, использовать pipe и queue - какой способ нужно <br>&gt;использо