Есть машинка на FreeBSD 9.0. На ней запускается некий python скрипт, который циклом заходит на несколько сетевых устройств и забирает некие данные в файлик.
До запуска ipfw работал, после запуска ipfw он отрабатывает только один цикл и висит, то есть почему-то фаерволл блокирует пакетики телнета.
Правила такие:
${FwCMD} -f flush
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add allow ip from me to any keep-state
${FwCMD} add allow tcp from ${LocalNetT} to ${IpOffice} 22 via vlan10
${FwCMD} add allow tcp from ${LocalNetT} to ${IpOffice} 22 via vlan10
${FwCMD} add allow icmp from any to me
${FwCMD} add deny all from any to any
ipfw -d show
00100 692 1242060 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 353 33966 allow ip from me to any keep-state
**************************************
02000 0 0 allow icmp from any to me
02100 88 8777 deny ip from any to any
65535 388 54470 deny ip from any to any
## Dynamic rules (17):
ipfw -d show
00100 634 66742 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 4035 217677 allow ip from me to any keep-state
00500 0 0 allow ip from any to me dst-port 23
00600 0 0 allow ip from me 23 to any
02200 1 84 allow icmp from any to me
02300 51 4927 deny ip from any to any
65535 49 3538 deny ip from any to any
## Dynamic rules (217):
2Shura - это два стандартных правила - перед ними есть правило, разрешающее трафик на интерфейсе lo0. а на остальных интерфейсах локальному трафику делать нечего
2Virus - из того, что вижу сразу - а что так странно настроенны VLAN - один ip висит на родительстком интерфейсе, один VLAN пуст, второй настроен. багов точно нет?
да, я же просил с динамическими правилами - что бы понять, что получается при их срабатывании.
просто странно, что один запрос проходит, а остальные блокируются.
так же рекомендую обратить внимание, что под правило 500 и 600 ничего не подпадает - все либо работает на уровне 400 правила, либо валиться дальше
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик