BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: PF vs traceroute
СообщениеДобавлено: Вс 21 янв, 2007 12:15 am 
Не в сети

Зарегистрирован: Пт 10 фев, 2006 12:51 am
Сообщения: 397
Что-то ну ни как не получается сделать трасировку к хосту с включенным PF. Только его выключаю (pfctl -d) сразу трасерт проходит.

Правила примерно таковые:
Код:
#macros
ext_myk = "myk0"

#rules for myk
block on $ext_myk all

pass out on $ext_myk proto icmp from any to any keep state
pass out on $ext_myk proto icmp all keep state
pass out on $ext_myk proto icmp
pass on $ext_myk proto icmp

Последние четыре строки - это варианты, которые я пробовал. Естественно в правилах всегда была одна из них.

С пингом порядок, достаточно одного правила типа:
Код:
pass out on $ext_myk inet proto icmp to any icmp-type 8 keep state


Да пинг работает практически со всеми четырьмя правилами, которые я пробовал для трасерта, а вот traceroute не хочет :(

Где ошибка?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 21 янв, 2007 5:15 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
так как traceroute использует еще и udp


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 янв, 2007 1:00 am 
Не в сети

Зарегистрирован: Пт 10 фев, 2006 12:51 am
Сообщения: 397
Вы знаете, я нашел нужное правило, получается что не еще UDP, а только UDP. Или я что-то путаю?

Что-то в голове всегда было отложено, что traceroute это icmp.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 янв, 2007 7:56 am 
Не в сети

Зарегистрирован: Пт 16 дек, 2005 6:51 pm
Сообщения: 981
Откуда: Москва
Azureus писал(а):
Вы знаете, я нашел нужное правило, получается что не еще UDP, а только UDP. Или я что-то путаю?

Что-то в голове всегда было отложено, что traceroute это icmp.

Код:
       -I     Use ICMP ECHO instead of UDP  datagrams.   (A  synonym  for  "-P
              icmp").


из мана.
в винде, если не ошибаюсь, по-дефаулту ICMP использует tracert


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 17 мар, 2007 8:51 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 28 дек, 2004 9:30 pm
Сообщения: 13
Откуда: Одесса
Нашел в инете такой способ:
# allow out the default range for traceroute:
# "base+nhops*nqueries-1" (33434+64*3-1)
pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state
Где $ext_if - сетевуха, смотрящая в "мир"
Работает ))


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], grayich


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика