Prevod pravidel ipfilter >> iptables

**Marty** · 24.11.2005, 11:29

Nemate nekdo tip na to, jak by se daly prekonvertovat pravidla z ipfilteru (solaris 10) na iptables (linux)?

jeden firewall mi nejak kravi, jak se sol8 tak se sol10 a chtel bych eliminovat nejakou nekompatibilitu filteru...

**Jezevec** · 24.11.2005, 14:36

Netusim jak ty pravidla vypadaj, ale neco jako sed/grep/... by urcite pomohlo. Zkratka pomoci regularnich vyrazu.

**Marty** · 24.11.2005, 16:07

Původně odeslal Jezevec

Netusim jak ty pravidla vypadaj, ale neco jako sed/grep/... by urcite pomohlo. Zkratka pomoci regularnich vyrazu.

toho jsem se trosku bal - nechce se mi do toho

... vypada to treba takhle

Kód:

pass in quick on elxl0 proto udp from <adresa site> to <adresa site> port 137 <> 138 keep state
pass in quick on elxl0 proto tcp from <adresa site> to <adresa site> port = 139 flags S/SA keep state
#pass in quick on elxl0 proto udp from any to any port 66 >< 69 keep state

NAT pravidel je 000nic, takze to bych prepsal rucne.

**Fox!MURDER** · 24.11.2005, 16:30

Původně odeslal Marty

Původně odeslal Jezevec

Netusim jak ty pravidla vypadaj, ale neco jako sed/grep/... by urcite pomohlo. Zkratka pomoci regularnich vyrazu.

toho jsem se trosku bal - nechce se mi do toho

... vypada to treba takhle

Kód:

pass in quick on elxl0 proto udp from <adresa site> to <adresa site> port 137 <> 138 keep state
pass in quick on elxl0 proto tcp from <adresa site> to <adresa site> port = 139 flags S/SA keep state
#pass in quick on elxl0 proto udp from any to any port 66 >< 69 keep state

NAT pravidel je 000nic, takze to bych prepsal rucne.

no toho bych se celkem bal ... ale ipfilter je spolehlivej, takze to konverzi stejne nevyresis .... spis hledej chybu v nastaveni.

**Marty** · 24.11.2005, 17:33

Jde o to, ze mam linku, na konci ktery je tenhle firewall, za nim sit.

Firewall byl solaris 8, ted je to 10 ... slo to leta OK, pak se zacal objevovat packetloss, kdyz jsem tam testovne (jen na chvili) misto firewallu pripojoval svuj notebook, tak to slo ok, ale moc velky vypadky si dovolovat nemuzu.

no a co tam prisel solaris 10, tak se packetloss zas nejako zvetsil..

problem je, ze tech pravidel ipf je tam hafo a nejaky podrobnejsi zkoumani je narocna zalezitost. tak jsem chtel udelat rychlej test s iptables a linuxem. asi udelam test s linuxem, ale bez iptables, jen routovat...

**Fox!MURDER** · 24.11.2005, 17:47

Původně odeslal Marty

Jde o to, ze mam linku, na konci ktery je tenhle firewall, za nim sit.

Firewall byl solaris 8, ted je to 10 ... slo to leta OK, pak se zacal objevovat packetloss, kdyz jsem tam testovne (jen na chvili) misto firewallu pripojoval svuj notebook, tak to slo ok, ale moc velky vypadky si dovolovat nemuzu.

no a co tam prisel solaris 10, tak se packetloss zas nejako zvetsil..

problem je, ze tech pravidel ipf je tam hafo a nejaky podrobnejsi zkoumani je narocna zalezitost. tak jsem chtel udelat rychlej test s iptables a linuxem. asi udelam test s linuxem, ale bez iptables, jen routovat...

no tak to bych vubec hledal chybu jinde a jinak nez skrz linux ...
popripade muzes zkusit treba fbsd(napr freesbie na notebooku) s ipf a ty pravidla by tam mely fungovat stejne ... jen zmenis nazvy interfacu ...

**Jezevec** · 24.11.2005, 18:04

Tohle skorem vypada ze ti umira nejakej HW.

**Marty** · 24.11.2005, 20:26

Původně odeslal Jezevec

Tohle skorem vypada ze ti umira nejakej HW.

bohuzel se to takhle chova s libovolnym HW.

bylo to takhle:
1. Solaris 8 + HW 1 ... nekolik let OK, pak se objevil PL
2. Solaris 8 + HW 1 + vymeneny sitovky ... obcas OK, obcas PL
3. Solaris 10 + HW 2 (komplet jina konfigurace, jinde funkcni) ... PL se zhorsil

... tak fakt nevim

poskytovatel (nebudu jmenovat) si vymysli kraviny jako nekompatibilita sitovek, ze oni maji ve svem zarizeni 3Com a my Intel...

jo jinak linka k poskytovateli je asi takova

<ISP> ----- optika ----- <router ISP> ----- cca 50-100m metalika 100Mb --- <malej switch> ---- 1m metal ---- <vyse zmineny firewall>

**Rainbow** · 24.11.2005, 22:01

Skusal si to aj bez toho maleho switchu?

**Marty** · 24.11.2005, 23:25

Původně odeslal Rainbow

Skusal si to aj bez toho maleho switchu?

jj. puvodne tam byl velkej hub, ale jakmile se objevily prvni problemy, isp to svedl na ten hub, takze sel hub pryc, chvili to bylo ok, pak isp tvrdil ze je problem v sitovce, takze se sitovka vymenila, chvili to bylo ok, takze pak isp tvrdil takovy veci jako spatne nastavena rychlost portu atd atd - vyzkouseno bylo leccos, ale nic nevedlo k dlouhodobe uspokojivemu vysledku (uspokojivy = 0.000% packetloss, vzdyt je to optika + metalika).

takze jsem fakt zoufalej

**David Jaša** · 24.11.2005, 23:28

Původně odeslal Marty

Jde o to, ze mam linku, na konci ktery je tenhle firewall, za nim sit.

Firewall byl solaris 8, ted je to 10 ... slo to leta OK, pak se zacal objevovat packetloss, kdyz jsem tam testovne (jen na chvili) misto firewallu pripojoval svuj notebook, tak to slo ok, ale moc velky vypadky si dovolovat nemuzu.

no a co tam prisel solaris 10, tak se packetloss zas nejako zvetsil..

problem je, ze tech pravidel ipf je tam hafo a nejaky podrobnejsi zkoumani je narocna zalezitost. tak jsem chtel udelat rychlej test s iptables a linuxem. asi udelam test s linuxem, ale bez iptables, jen routovat...

Tak tam dej NetBSD, kde je ipfilter defaultní fw a nebudeš muset nic konvertovat (teda možná názvy síťovek, takže skoro nic

).

**Rainbow** · 24.11.2005, 23:29

Skus to na skusku s tym freebsd, kedze to ma rovnake pravidla (nainstalovat na hociaky iny stroj).
BTW. Nie je niekde zly kabel?

**Marty** · 25.11.2005, 00:24

ja bych to taky tipoval na blbej kabl... jenze je to tazeny buh vi kudy, takze ho menit by byla sodoma.

jinak s *bsd si moc nepomuzu protoze jsem to v zivote nevidel, ani z rychliku.

**David Jaša** · 25.11.2005, 12:07

Původně odeslal Marty

jinak s *bsd si moc nepomuzu protoze jsem to v zivote nevidel, ani z rychliku.

Pokud znáš ipfilter, tak nasazení NetBSD (Free i Open už mají AFAIK defaultně pf) je záležitost asi na hodinku - tam v základu nic není, takže tam snad ani není co zkazit.

**dj-bobr** · 25.11.2005, 12:53

Původně odeslal Marty

ja bych to taky tipoval na blbej kabl... jenze je to tazeny buh vi kudy, takze ho menit by byla sodoma.

Tak ucvakni konektory a nakrimpluj konektory znova, ale s jinými páry (1,2 = modrobílá,modrá ; 3,6 = hnědobílá,hnědá)... takhle jsem jednou vyřešil problém s divným kabelem, který byl v liště a nikomu se nechtělo ho vyměnit

**Marty** · 25.11.2005, 13:51

mno kabel budu resit az jako ooopravdu posledni, protoze ani pomalu nevim kde konci - a musel bych to resit zaroven s ISP. nicmene budou tu nejaky zmeny, takze infrastruktura ISP se asi presune hned k nasemu firewallu, takze se budou pokladat predpokladam novy kabely.

jinak v tuhle chvili packetloss zazdil patch na ipf pro solaris 10, takze se vse vratilo do starych koleji, ztratovost na seznam je do 2% a na gateway ISP prakticky 0.

takze zatim je to tak-nak ok, ale prece jen bych si to predstavoval lip

Kód:

Statistika ping pro 194.228.32.18&#58;
Pakety&#58; Odeslané = 5120, Přijaté = 5037, Ztracené = 83 &#40;ztráta 1%&#41;,
Přibližná doba do přijetí odezvy v milisekundách&#58;
    Minimum = 6ms, Maximum = 1090ms, Průměr = 13ms

**Jezevec** · 25.11.2005, 14:04

Hmm, misto switche tam hod hub nebo arp poison + snifuj tu sit. Zjistis estli pakety alespon odchazej na kabel. Pak bych totez aplikoval u routeru ISP. Tim overis estli je kabl OK.
Nebo si nekde puc merak a promer ho, je to na par minut. Na jeden konec se da terminator a na druhej ten merak.

+Dalsi vec, posli ping -f na obe rozhrani toho ISP routeru a porovnej to, krom decentne rozdilny latence by se to melo chovat stejne, pokud ne, je to v tom routeru. Takhle muzes pokracovat dal pres tu optiku.

Takovejhle PL mam na WiFi.

Téma: Prevod pravidel ipfilter >> iptables

Nástroje témat

Zobrazení

Prevod pravidel ipfilter >> iptables

Informace o tématu

Users Browsing this Thread

Pravidla přispívání