RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Ответить на сообщение
Имя:
e-mail:
FIDO:
Home page:
сохранить данные о вас
Тема:
> > > > А в fwlog.cnf какой левел выставлен? > > > Мнэ... никакого. По дефолту. Когда я настраивал, то видел пакеты, которые отфильтровались. Так что в лог они попадали при умолчательных настройках. А здесь пакеты не фильтруются. Она просто проходят с одного интерфейса, а до другого не доходят как будто. > > > > Вот пропиши в файле fwlog.cnf строку "level=10" и будешь видеть всё. (он лежит в х:\MPTN\ETC, если его там нет, то сделай) И не забудь после этого перегрузиться. > > Попробовал. Никаких новых сообщений я там не увидел при этом. Помучавшись чуть-чуть обнаружил, что рутинг ломается при приходе пакетов, которые подпадают под deny. > У меня было вот такое правило - впускать ответы http только на локальную машину (стоит прокси) > # http > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 both both outbound > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 both local inbound > > Если из локальной сети кто-то директом ходил на хттп, то это попадало в лог > 29.03.07 05.11.25 ICA1041w: Denied packet in. Rule: 52 Source addr: 62.152.64.108 Destination addr: 192.168.0.8 Protocol: tcp Source port: 80 Destination Port: 2705 Routing: route Interface: non-secure Adapter: 84.17.27.215 Fragment: n Tunnel: 0 Encryption: n Size: 48. > > после чего форвардинг и пропадал. Хороший такой файрвол, который не дав врагу пробраться, помирает сам ;-) Правда через некоторое случайное время все восстанавливалось. После того, как разрешил сквозное хождение пакетов, все нормализовалось. Вот так сделал > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp any 0 eq 80 both both outbound > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 both local inbound > permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tcp/ack eq 80 gt 1023 non-secure both inbound > permit 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0 tcp/ack eq 80 gt 1023 secure route outbound > > Но при этом, если файрвол запретить (cfgfilt -c) или не запускать при старте системы, то все, ахтунг. Пакеты между интерфейсами не ходят совсем. В общем бред какой-то. Ничего не понимаю. > Кто не жадный, киньте свои настройки файрвола, желательно с учетом динамически меняющегося адреса на одном из интерфейсов. Может я чего делаю совсем не так... > > PS Или может я зря написал tcp/ack и надо везде tcp писать? Как-то я этот момент не очень осознал. >
_, __, _, __,
/_\ |_) /_\ |_)
| | | | | | \
~ ~ ~ ~ ~ ~ ~
Programmed by
Dmitri Maximovich
,
Dmitry I. Platonoff
,
Eugen Kuleshov
.
25.09.99 (c) 1999,
RU/2
. All rights reserved.
Rewritten by
Dmitry Ban
. All rights ignored.