求助，关于IPFW规则失效问题

ryanmm

我刚才规则是 这个

add allow tcp from any to any dst-port 80 in via sk0
add allow tcp from any to any dst-port 80 in via sk1
add allow tcp from any to any dst-port 22 in via rl0
add allow ip from any to any in via sk1
add allow ip from any to any out via sk0
add allow tcp from any to any dst-port 1433 in via sk0
add allow tcp from any to any dst-port 1433 out via sk1
add drop log all from any to any
add deny ip from any to any


重启以后，服务器就连不上了
我不知道这个哪里有错了？

ryanmm

原帖由 lsstarboy 于 2007-9-19 10:13 发表
因为你的规则已经考虑到双向了，直接把keep-state和setup去掉就可以。看你的意思，是在sk0上开放80和1433端口。

在写规则的时候，最好一个接口一个接口地写，那样好排错，设置好之后，可以根据数据包的频繁度 ...

多谢多谢，我试试

好像和我刚才出错的那个规则差别不是很大？

ryanmm

测试后 不加 setup keep-state 的话，
网络完全不通；

加了 setup keep-state 的话，
10几分钟后，网络就也断了。

我晕了~~

难道是语法变了？

[ 本帖最后由 ryanmm 于 2007-9-19 20:57 编辑 ]

lsstarboy

用我给的规则，rl0也不通吗？

看一下log里面，不通的原因都给说的。

还有一个办法，逐个网卡调试，先把规则置为allow ip from any to any。

我的规则集，比你的多了一个nat。
fxp0是外网，IP为221.2.x.x，fxp1接一个办公室，fxp2接另一个办公室，两个办公室之间不相互通信。

ipfw -q flush

ipfw add 17 deny ip from 224.0.0.0/3 to any

ipfw add 60 deny ip from any to any dst-port 137,138,139,135,68

ipfw add 100 allow ip from 192.168.0.0/24 to any in via fxp1
ipfw add 101 allow ip from 192.168.1.0/24 to any in via fxp2
ipfw add 110 allow ip from any to 192.168.0.0/24 out via fxp1
ipfw add 111 allow ip from any to 192.168.1.0/24 out via fxp2


ipfw add 500 deny ip from 192.168.0.0/16 to any in via fxp0
ipfw add 505 deny ip from 169.254.0.0/16 to any in via fxp0
ipfw add 510 deny ip from 0.0.0.0/8 to any in via fxp0

ipfw add 515 deny udp from any to any not 53 out via fxp0
ipfw add 520 deny udp from any not 53 to any in via fxp0

ipfw add 550 divert natd ip from any to 221.2.x.x in via fxp0

#现在只允许两台机器上网。
ipfw add 560 divert natd ip from 192.168.1.99,192.168.0.99 to any out via fxp0

ipfw add 600 allow ip from any to 192.168.0.0/16 in via fxp0

#122,1122分别为web，和ssh。22和80已经redirect了。
ipfw add 605 allow ip from any to 221.2.x.x 122,1122 in via fxp0
ipfw add 610 allow udp from any to 221.2.x.x 53 in via fxp0
ipfw add 620 allow ip from 221.2.x.x to any out via fxp0

ipfw add 1000 deny ip from any to any

ryanmm

原帖由 lsstarboy 于 2007-9-20 09:01 发表
用我给的规则，rl0也不通吗？

看一下log里面，不通的原因都给说的。

还有一个办法，逐个网卡调试，先把规则置为allow ip from any to any。

十分感谢你的帮助

用了你写的规则后，也还是不通，无论是 80 还是22
在 tcp 规则后面加setup keep-state后，还能够维持10几分钟，然后80 端口不通， rl0 的22却依旧畅通
加了 allow ip from any to any 后，就又完全畅通

这两天一直都是这种现象，
现在换了两块 intel的网卡（em0\em1） 做网桥，现象依旧
唉，郁闷！

lsstarboy

你看log了吗？与其在这儿郁闷，为什么不看log呢？
实在没有把握，就把最后两行去掉，找个机器实验好之后再用。

ryanmm

现在 我把ip全开放了
唉
我在试验机上试试

感谢~

ryanmm

好像解决了

用 if_bridge 就没问题了
至少目前还算正常

感谢~~~