classic.ISPforum.cz

Ahoj , mohl by jste mi nekdo trochu objasnit jak využít ve FW jump a return.
Četl jsem v manuálu, že jump skočí na definovaný chain a return opět skočí zpět odkud se skok provedl, ale nějak nevím jak to v praxi použít.
Abych nějak nezblbnul pravidla.

dík

JirkaRTJ

Jumpom skocite do chainu treba do icmp_check kde sa checkne, ci vsetky icmp prenosy su ok, a v kazdom pravidle ktore bude zodpovedat vasim potrebam, date return. Ak vsetky prejdu, date za posledne returnovacie pravidlo tresnicku, zakazat icmp ostatne. Vsetko ostatne zakaze a i tak sa vrati na povodny chain a pokracuje odkial skocil(jump)...

Ahoj skrebone, dík za vysvetlení.

Ale jestě bych se zeptal jaký je teda rozdíl mezi returnem a acceptem. A take v cem je teda výhoda používání jumpu a returnu? Když mužu dát vše pod sebe a použít je accept a drop

tím myslím

accept ICMP pravidlo 1
accept ICMP pravidlo 2
accepr ICMP pravidlo ....
drop ostatní ICMP

accept porty xy
drop virus port 1
drop virus port 2
atd... atd..

Dík Jirka

Priklad: skontrolovat mac adresy spolu s ip adresami, ci sedia a dalej s tymi co pasuju, pracovat, a s tymi co nepasuju, logovat? S acceptom si to neviem realne nejako predstavit(i ked keby som nemal return, asi by sa to dalo vyriesit ). No a kedze mame return, da sa tato situacia riesit: returnujeme potvrtdene spravne kombinacie mac+ip do hlavnej vetvy, kde dalej povolujeme jednotlive rozsahy subsieti, kam mozu ist, a dalsie nejake treba connection limity apod. A to co nam neprejde returnom, nam pokracuje v tom istom chaine, kde ho treba zalogujeme a dropneme. Su urcite i ine situacie, kde je to celkom vhodne.

Ahoj skrobone, dik za tvou trpelivost.

Ale nějak tomu tvemu vysvetlení nerozumim.

Podle mne se pravidla ve FW provadeji od zhora dolu a kdyz např je podminka splneta treba když souhlasí zdrojova IP a MAC tak se bud provede accept nebo drop nebo treba log.

Jump si predstavuju jako skok na chain který leží niže tak, ze se přeskocí nejaká pravidla. A Return treba se vrátí zpet odkud byl proveden skok na daný chain. Ale takto to asi nemuze fungovat.

Ale return je návrat a je to teda Ok nebo NE??, nebo teda co se stane když pravildo souhlasí a co když nesouhlasí??

Nebo je Jump neco jako odskok do podprogramu a po jeho vykonání return návrat zpět???

Budu ti vděčen za vysvětlení

Díky

JirkaRTJ

JirkaRTJ píše:Podle mne se pravidla ve FW provadeji od zhora dolu a kdyz např je podminka splneta treba když souhlasí zdrojova IP a MAC tak se bud provede accept nebo drop nebo treba log.

ANo idu od zhora dolu, ale musis na ne pozerat v chaine, v ktorom su umiestnene. Cize nepozeram na to z pohladu chain=static... Ak podmienka suhlasi, bude prevedene bud log, drop, accept, alebo treba i jump, ci return

JirkaRTJ píše:Jump si predstavuju jako skok na chain který leží niže tak, ze se přeskocí nejaká pravidla. A Return treba se vrátí zpet odkud byl proveden skok na daný chain. Ale takto to asi nemuze fungovat.

Jump neskoci nikde nizsie, skoci do ineho chainu(vetvy). Ako som pisal, nepozeraj na firewall, ako na jednu tabulku, ale tabulky minimalne tri...(forward, input, output). Jump skoci do ineho chainu, ak sa tam potvrdi nejake pravidlo a ma byt vykonany return, bude vykonany a vrati sa odkial bol volany JUMP.

JirkaRTJ píše:Ale return je návrat a je to teda Ok nebo NE??, nebo teda co se stane když pravildo souhlasí a co když nesouhlasí??

Vzdy su vo FW len pravidla, ktore musia suhlasit(ak nesuhlasia, preskakuje ich). Takze ak suhlasi, vykona(napriklad) skok spat, za pravidlo volajuce jumpom do ineej vetvy.

Ahoj dik za odpoved, zeptám se jeste na jednu vec

Když teda se budu koukat na FW jako na samostatne "tabulky" (input,output,forward, virus, ..) tak já mam treba od zhoda dolu ruzne preházené input, chain pak par pravidel s output pak treba zas input , forward atd.....
Je toto spravne???
Ale ty chainy se vykonávání popořadě od zhora dolů??? Nebo to jakoby skáče po chainech tak jak to mam poskládané??

Dík Jirka

TO ze to mas dokopy, je len vizualny pohlad. Ale prakticky to jede zvlast. Tak ako ma. Cize co preteka routrom jede cez forward a potom skace kde sa urci. A input a output to same, len vo svojich chainoch. I ked mozes spravit z inputu jump do chainu, ktory je pouzity treba vo forwarde, ale nemoze tam byt input, resp. output interface zadefinovany.