Dňa 25. 6. 2012 19:05, Dan Lukes wrote / napísal(a):
Zadne konkretni rady. Nevim zadnych problemech (na vlastnich strojich,
nebo ze bych o tom slysel od nekoho jineho).
Ktera pravidla se realne pouzivaji se da zjistit pomoci counteru, ktere
jsou s kazdym pravidlem spjaty.
Takze ja bych zacal kontrolou, zda konkretni problematicke toky tecou
pres ta pravidla, pres ktera ocekavas.
Problemy mi evidentne sposobovali queue (ako parameter), odstranil som
ich zo vsetkych pravidiel, kde som ich mal zadefinovane... Ako vzdy, uz
niet casu robit hlbkovu a dlhu analyzu. Vyzera to, ze vsetko slape.
... out via ${pubif}
Jen na okraj - tenhle konstrukt podle vseho pouzivas pro "pakety
odchazejici ven". Pak by to ale melo byt 'out xmit ${pubif}'
Tak jak to mas se to uplatni i na pakety ktere prisly pres ${pubif}
(tedy "z venku") a konci vevnitr na jinem interface.
Pozrel som si po case opatovne man ...niekedy sa mi stava, ze cim viac
to citam, tak sa viac zamotavam, takze:
out via ${pubif}
paket prechadzajuci CEZ rozhranie je 'ODCHODZI' aj smerom do internetu,
ale aj smerom na privatny (druhy) interface. No, ak to teda chapem
spravne, zmenu by som mal previest len u tychto pravidiel:
${fwcmd} add 1030 pipe 50 tcp from any to any 25,465 out via ${pubif}
${fwcmd} add 1040 pipe 60 tcp from any to not X.X.X.163 20,49152-65535
out via ${pubif}
pretoze 'from' je 'any'. Pravidla 1049/1050/1149 by mali byt OK, pretoze
zdroj je jedinecny (aspon dufam). Rozmyslam vsak este nad pravidlom
1150, kde 'from' je 'not X.X.X.163' a tym padom moze byt from aj
privatny (druhy) interface
Lubo M.
--
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
