Fetch & ipfw?

Question

[JustLuckyGuy]

Здравствуйте.


Имеем ситуацию:

...<br/>
ipfw add 1000 allow all from me to any<br/>
...<br/>
ipfw add 64000 deny log all from any to any<br/>

fetch ya.ru — вываливается по таймауту


Делаем

ipfw add 1001 allow all from 77.88.21.3<i>(ип яндекса) </i>to me

И все начинает работать. В чем подвох? Раньше вроде нормально работало и без разрешения incoming трафика.

Update:

FreeBSD 8.0-RELEASE


Проблема решилась сама внимательным просмотром других конфигов и сравнением построчно.

00600 allow tcp from any to any established

Решило вопрос.

Comments

[korvindest]

Простите, но в вашем вопросе нет ни операционки, ни версии ядра, ни софтины с которой вы мучаетесь. Нет конечно можно вооружится хрустальным шаром или погадать на кофейной гуще, но давайте все озвучим контекст задачи.
Спасибо за понимание.

Answer 1

[Zelgadis]

Очевидно, что 1000 правилом вы разрешаете себе посылать пакеты куда угодна, 1001 разрешаете от яндекса к себе. А «established» отвечает за то, что если вы соеденились, то разрешение работает и vice versa.

Answer 2

[gescheit]

Погладив по хрустальному шару предположу что последним правилом происходит всего трафика. А «раньше» работало потому что ядро было собрано таким образом что-бы дефолтно было всё разрешено. В любом случае ipfw list в студию.

Comments

[gescheit]

Забыл слово дроп :)

[korvindest]

Как жалко что ваш хрустальный шар не умеет просматривать все конфиги интересующих вас систем…

[JustLuckyGuy]

Прощу прощения, думал данной информации достаточно

Answer 3

[cthtuf]

вашу проблему решит
ipfw add 1000 allow ip from me to any keep-state

где keep-state создает динамическое правило для обратного входящего трафика