Изпечатай

[Neoromantic]

Опитвам се да напиша някъв прост firewall с ipfw

pif="xl0"
lif="xl1"
cmd="/sbin/ipfw -q"
$cmd add 005 divert 8668 ip from any to any in via $pif
$cmd add 006 check-state
$cmd add 007 allow tcp from any to 192.168.0.2 limit src-addr 100
$cmd add 010 allow all from any to any via $lif
$cmd add 011 allow all from any to any via lo
$cmd add 012 divert 8668 ip from any to any out via $pif

В natd.conf имам redirect_port tcp 192.168.0.2:8080 80

като на 192.168.0.2 имам един уеб сървър. Целта е да огранича конекциите към него.

Когато сложа правилото 007 нищо не става. Махна ли го всичко върви.
С iptables ми е по лесно, но тука..не разбирам кво се случва...
Ако съм разбрал правилно - на 005, това което влиза през външния интерфейс му се прави  dnat, след което пакета минава на следващото правило и т.н.
Тогава какъв е проблема да не мога да огранича конекциите....?!

[koue]

Под "нищо не става" какво трябва да разбираме?

[Neoromantic]

Не се отваря страницата на 192.168.0.2 и си мисля, че причината е в това, че на влизане пакета се "мачва" от 005, сменя му се destination-a и после се "мачва" от 007. Дотук "ОК", но пакета който се връща се "мачва" на 012...
Сега преработих редовете така:

cmd="/sbin/ipfw -q"
$cmd add 005 divert 8668 ip from any to any via $pif
$cmd add 006 check-state
$cmd add 007 allow tcp from any to 192.168.0.2 out via $lif setup limit src-addr 100
$cmd add 010 allow all from any to any via $lif
$cmd add 011 allow all from any to any via lo

и работи.

$pif = публичен интерфейс
$lif = локален интерфейс