Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[solaris]

Собственно говоря, это и есть "наружу".
У меня три хопа по дороге...

Ну тогда я не понимаю ничего...

Готов предоставить root login на сервер, увидите сами...

[muff]

"А ларчик просто открывался..."

Достаточно было разрешить запрос входящего эха на внешнем интерфейсе... Перед НАТом добавляем такое правило:

Код: [Выделить]

ipfw add 1350 allow icmp from any to 195.98.163.142 icmptypes 8 in via rl0

[solaris]

"А ларчик просто открывался..."

muff, ты - гений! Спасибо большое

А теперь можно пару слов, как ты понял, в чём было дело?

[muff]

Просниферил трафик. Обнаружил, что проблема в том, что запрещены именно входящие icmp-запросы к серверу. А потом немного пришлось подумать над поведением трафика. Ознакомился еще раз с типами ICMP и сложил детализированное правило, чтобы только определенный тип трафика под него попадал.

Кста, "хозяйке на заметку":

Типы ICMP пакетов (неполный список)
0 Эхо-ответ
3 Адресат недоступен
4 Сдерживание источника (отключение источника при переполнении очереди)
5 Перенаправление
8 Эхо-запрос
9 Объявление маршрутизатора
10 Запрос маршрутизатора
11 Превышение временно́го интервала (для дейтаграммы время жизни истекло)
12 Неверный параметр (проблема с параметрами дейтаграммы: ошибка в IP-заголовке или отсутствует необходимая опция)
13 Запрос метки времени
14 Ответ с меткой времени
15 Информационный запрос
16 Информационный ответ
17 Запрос адресной маски
18 Отклик на запрос адресной маски

[solaris]

Просниферил трафик. Обнаружил, что проблема в том, что запрещены именно входящие icmp-запросы к серверу. А потом немного пришлось подумать над поведением трафика. Ознакомился еще раз с типами ICMP и сложил детализированное правило, чтобы только определенный тип трафика под него попадал.

Ясно. Но если разрешить любой ICMP, а не только echo (убрать из правила "icmptypes 8"), работать не будет.

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?

[muff]

Ясно. Но если разрешить любой ICMP, а не только echo (убрать из правила "icmptypes 8"), работать не будет.

Конечно. Если разрешить, например, еще и эхо-ответ (icmptypes 0), то пинг из локальной сети уже не будет работать, поскольку ответ от удаленного ресурса будет сразу обрабатываться сервером напрямую, не попадая в НАТ.

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?

Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...

[solaris]

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?

Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...

Ну да, но мне что-то в голову не приходит, как можно по-другому сделать.
Может, ты кинешь сюда свои правила, дабы я помедитировал над ними?