Jump to content

Команда ipfw divert

Towerman
 Share

Recommended Posts

Towerman

Towerman

Posted
Posted

Здравствуйте.

Дайте, пожалуйста, подробное описание команды divert. Как она работает я не совсем понимаю.

возвращает ли пакеты дальше по списку правил?

andrewk

andrewk

Posted
Posted
Здравствуйте.

Дайте, пожалуйста, подробное описание команды divert. Как она работает я не совсем понимаю.

 возвращает ли пакеты дальше по списку правил?

man ipfw, man divert - там все написано.

Micah'GF

Micah'GF

Posted
Posted

По сути пакеты, удовлетвояющие правилу divert, извлекаются из обработки. И проходят обработку снова сначала уже после обработки (если обрабатывается NATd или подобными утилитами).

Micah'GF

Micah'GF

Posted
Posted

во-первых в правило добавь log - это будет вот так ipfw add divert 8686 log ip from any to any via ed0. Потом смотри в /var/log/security

во-вторых запусти пинг хоста, например, 213.180.204.8, и запусти tcpdump -i ed0 'host 213.180.204.8'. Если ничего нет, то запускай tcpdump на другом интерфейсе.

в-третьих, запускай natd из скрипта rc.local командой "natd -p 8668 -n ed0" и будь уверен, что divert 8668 пойдут именно через ed0 (при условии, что маршруты прописаны правильно, конечно).

Towerman

Towerman

Posted
  • Author
Posted

А как прописываются правила с портом источника, портом назначения? Что-то типа dst, scr. Т.е. я хочу сделать правило типа:

allow ip from me to any via ed0

Но хочу, чтобы обрабатывался трафик, который перед этим попал в NAT. Т.е. примерно следующее:

 

#заворачиваем исходящий трафик с определенного IP в NAT.

1 divert natd ip from "ip_адрес" to any http out ed0

 

#разрешаем исходящий трафик с порта NAT

2 allow ip from "порт_NAT" to any out ed0

 

Т.е. если в правиле вместо "порт_NAT" подставить "me", то все будет нормально, но я не хочу пользоваться таким правилом(не лучший способ из соображений безопасности и ресурсопотребления).

 

3 #форвардим исходящий трафик на прокси со всех остальных адресов лок. сети

 

4 # заворачиваем трафик со всех остальных адресов на NAT

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.