Nemate nekdo tip na to, jak by se daly prekonvertovat pravidla z ipfilteru (solaris 10) na iptables (linux)?
jeden firewall mi nejak kravi, jak se sol8 tak se sol10 a chtel bych eliminovat nejakou nekompatibilitu filteru...
Printable View
Nemate nekdo tip na to, jak by se daly prekonvertovat pravidla z ipfilteru (solaris 10) na iptables (linux)?
jeden firewall mi nejak kravi, jak se sol8 tak se sol10 a chtel bych eliminovat nejakou nekompatibilitu filteru...
Netusim jak ty pravidla vypadaj, ale neco jako sed/grep/... by urcite pomohlo. Zkratka pomoci regularnich vyrazu.
toho jsem se trosku bal - nechce se mi do toho ;D ... vypada to treba takhleCitace:
Původně odeslal Jezevec
NAT pravidel je 000nic, takze to bych prepsal rucne.Kód:pass in quick on elxl0 proto udp from <adresa site> to <adresa site> port 137 <> 138 keep state
pass in quick on elxl0 proto tcp from <adresa site> to <adresa site> port = 139 flags S/SA keep state
#pass in quick on elxl0 proto udp from any to any port 66 >< 69 keep state
no toho bych se celkem bal ... ale ipfilter je spolehlivej, takze to konverzi stejne nevyresis .... spis hledej chybu v nastaveni.Citace:
Původně odeslal Marty
Jde o to, ze mam linku, na konci ktery je tenhle firewall, za nim sit.
Firewall byl solaris 8, ted je to 10 ... slo to leta OK, pak se zacal objevovat packetloss, kdyz jsem tam testovne (jen na chvili) misto firewallu pripojoval svuj notebook, tak to slo ok, ale moc velky vypadky si dovolovat nemuzu.
no a co tam prisel solaris 10, tak se packetloss zas nejako zvetsil..
problem je, ze tech pravidel ipf je tam hafo a nejaky podrobnejsi zkoumani je narocna zalezitost. tak jsem chtel udelat rychlej test s iptables a linuxem. asi udelam test s linuxem, ale bez iptables, jen routovat...
no tak to bych vubec hledal chybu jinde a jinak nez skrz linux ...Citace:
Původně odeslal Marty
popripade muzes zkusit treba fbsd(napr freesbie na notebooku) s ipf a ty pravidla by tam mely fungovat stejne ... jen zmenis nazvy interfacu ...
Tohle skorem vypada ze ti umira nejakej HW.
bohuzel se to takhle chova s libovolnym HW.Citace:
Původně odeslal Jezevec
bylo to takhle:
1. Solaris 8 + HW 1 ... nekolik let OK, pak se objevil PL
2. Solaris 8 + HW 1 + vymeneny sitovky ... obcas OK, obcas PL
3. Solaris 10 + HW 2 (komplet jina konfigurace, jinde funkcni) ... PL se zhorsil
... tak fakt nevim ;D poskytovatel (nebudu jmenovat) si vymysli kraviny jako nekompatibilita sitovek, ze oni maji ve svem zarizeni 3Com a my Intel...
jo jinak linka k poskytovateli je asi takova
<ISP> ----- optika ----- <router ISP> ----- cca 50-100m metalika 100Mb --- <malej switch> ---- 1m metal ---- <vyse zmineny firewall>
Skusal si to aj bez toho maleho switchu?
jj. puvodne tam byl velkej hub, ale jakmile se objevily prvni problemy, isp to svedl na ten hub, takze sel hub pryc, chvili to bylo ok, pak isp tvrdil ze je problem v sitovce, takze se sitovka vymenila, chvili to bylo ok, takze pak isp tvrdil takovy veci jako spatne nastavena rychlost portu atd atd - vyzkouseno bylo leccos, ale nic nevedlo k dlouhodobe uspokojivemu vysledku (uspokojivy = 0.000% packetloss, vzdyt je to optika + metalika).Citace:
Původně odeslal Rainbow
takze jsem fakt zoufalej :?
Tak tam dej NetBSD, kde je ipfilter defaultní fw a nebudeš muset nic konvertovat (teda možná názvy síťovek, takže skoro nic :-)).Citace:
Původně odeslal Marty
Skus to na skusku s tym freebsd, kedze to ma rovnake pravidla (nainstalovat na hociaky iny stroj).
BTW. Nie je niekde zly kabel? ;D
ja bych to taky tipoval na blbej kabl... jenze je to tazeny buh vi kudy, takze ho menit by byla sodoma.
jinak s *bsd si moc nepomuzu protoze jsem to v zivote nevidel, ani z rychliku.
Pokud znáš ipfilter, tak nasazení NetBSD (Free i Open už mají AFAIK defaultně pf) je záležitost asi na hodinku - tam v základu nic není, takže tam snad ani není co zkazit. :-)Citace:
Původně odeslal Marty
Tak ucvakni konektory a nakrimpluj konektory znova, ale s jinými páry (1,2 = modrobílá,modrá ; 3,6 = hnědobílá,hnědá)... takhle jsem jednou vyřešil problém s divným kabelem, který byl v liště a nikomu se nechtělo ho vyměnit :)Citace:
Původně odeslal Marty
mno kabel budu resit az jako ooopravdu posledni, protoze ani pomalu nevim kde konci - a musel bych to resit zaroven s ISP. nicmene budou tu nejaky zmeny, takze infrastruktura ISP se asi presune hned k nasemu firewallu, takze se budou pokladat predpokladam novy kabely.
jinak v tuhle chvili packetloss zazdil patch na ipf pro solaris 10, takze se vse vratilo do starych koleji, ztratovost na seznam je do 2% a na gateway ISP prakticky 0.
takze zatim je to tak-nak ok, ale prece jen bych si to predstavoval lip :roll: ;D
Kód:Statistika ping pro 194.228.32.18:
Pakety: Odeslané = 5120, Přijaté = 5037, Ztracené = 83 (ztráta 1%),
Přibližná doba do přijetí odezvy v milisekundách:
Minimum = 6ms, Maximum = 1090ms, Průměr = 13ms
Hmm, misto switche tam hod hub nebo arp poison + snifuj tu sit. Zjistis estli pakety alespon odchazej na kabel. Pak bych totez aplikoval u routeru ISP. Tim overis estli je kabl OK.
Nebo si nekde puc merak a promer ho, je to na par minut. Na jeden konec se da terminator a na druhej ten merak.
+Dalsi vec, posli ping -f na obe rozhrani toho ISP routeru a porovnej to, krom decentne rozdilny latence by se to melo chovat stejne, pokud ne, je to v tom routeru. Takhle muzes pokracovat dal pres tu optiku.
Takovejhle PL mam na WiFi.