Фильтрующий мост (Bridge + ipfw + FreeBSD 6.1)

[anclbob]

Стоял у меня больше года фильтрующий мост на FreeBSD 4.10 между 2мя подсетями. Не пропускал левые и не ихние ИП адреса, закрывал нетбиос порты, не пропускал интернет трафик вообщем вот так вот и работал. Решил я поставить фрю 6.1 . Всё настроил мост вроде как заработал , а ipfw работает очень странно. Прописываю все необходимые правила он стоит 3-5 минут нормально работает а потом начинает всё блокировать и не пропускает входящий траф с другой сети.

вырезка из ipfw. На мосте интерфейсы fxp0 и vr0. vr0 не имеет ИП адреса и смотрит в соединенную сеть, fxp0 - 192.168.1.200 смотрит в мою сеть

===============================================================

#!/bin/sh

fw="/sbin/ipfw -q"

${fw} -f flush

${fw} add 65534 allow all from any to any # всё разрешаем

${fw} add 25000 deny ip from any to any via vr0 # блокируем весь трафик с дружеской сети

${fw} add 24000 allow all from 192.168.0.0/16 to 192.168.0.0/16 via vr0 # разрешаем только локальный трафик с друж. сети

###############################################

${fw} add 23000 deny ip from any to 192.168.0.0/16 in via vr0 # опять блокируем попадание на vr0 всех ИП адресов

#===========================================================

${fw} add 20000 allow all from 192.168.3.1 to 192.168.0.0/16 in via vr0 # разрешаем для 3.1

${fw} add 20000 allow all from 192.168.3.2 to 192.168.0.0/16 in via vr0 # разрешаем для 3.2

${fw} add 20000 allow all from 192.168.3.3 to 192.168.0.0/16 in via vr0 # разрешаем для 3.3

${fw} add 20000 allow all from 192.168.3.4 to 192.168.0.0/16 in via vr0 # разрешаем для 3.4

${fw} add 20000 allow all from 192.168.3.5 to 192.168.0.0/16 in via vr0 # разрешаем для 3.5

#===========================================================

${fw} add 10000 deny icmp from 192.168.0.0/16 to me # пинги нафиг

${fw} add 10000 deny tcp from any to any 1723 # VPN тоже

${fw} add 10000 deny tcp from any 1723 to any # VPN тоже

${fw} add 10000 deny udp from any 135-139 to any # netbios низя

${fw} add 10000 deny tcp from any 135-139,445 to any # netbios низя

${fw} add 10000 deny udp from any to any 135-139 # netbios низя

${fw} add 10000 deny tcp from any to any 135-139,445 # netbios низя

#################################################################

 

вот это всё в идеале работало на 4.10, запускаю на 6.1 всё вроде работае но через 3-5 минут пропадает связь с 3.1, 3.2 и тд. Закоментирываю правило номер 25000 и 23000, запускаю начинает работать, раскоментирываю опять эти правила - работает! только не более 5 минут! что это может быть???

Edited August 29, 2006 by anclbob

[anclbob]

Никто ничего подобного не видел? Эх... придётся 5.3ставить

[Lin_]

а dafault_to_allow не пробовали?

Может попробовать проапгрейдиться до 6-stable?

[anclbob]

короче ситуация немного прояснилась убрал правило 25000 и всё заработало! теперь вопрос почему правило 24000 отключается и потом через 5-10 минут перестаёт работать?

[zyxman]

а по-моему до 6.3 нечего на нее даже смотреть..

 

может даже стоит дождаться 7.3.

 

если честно откровенно, самая безглючная была ветка 2, на 4 уже начала проявляться спешка, а 5 имеет просто идеологические проблемы, почему она еще жива (хоть и только в 5.5 до ума довели), когда она еще сырая была, ответвили 6 как решение этих идеологических проблем и уже речь о 7 идет.

 

я лично сейчас пользую releng_5, так когда замораживали 5.5 она отличалась от 5.4 как 2 от 4!

- 5.4 была еще не совсем безглючной, а вот 5.5 уже похоже, сможет десятилетние аптаймы в прдакшне показывать.

[Lin_]

Да, ещё заметил, что номера у правил совпадают!

ipfw show что показывает?

Я подумал, версия фри тут не при чём, имхо

На 4.10 стоял ipfw или ipfw2? Короче, проблема только в правилах

[zyxman]

а какая разница, ipfw или ipfw2 - тут же все в пределах совместимого функционала.

или вы не все показываете?