Перейти к содержимому


Фото
- - - - -

Какова логига работы правил файервола?

firewall

  • Please log in to reply
8 ответов в этой теме

#1 Michael89

Michael89

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 25 Июнь 2013 - 13:51

Здравствуйте!

Пытаюсь настроить правила для интерфейса и никак не могу понять логику их работы. (Dr.Web Security Space 8)

В доке написано что: "Правила применяются последовательно, согласно очередности в списке". Что это значит?

 

1. Правила просматриваются до первого подходящего по критерию?

или

2. Правила просматриваются до первого запрещающего правила подходящего по критерию?

 

Объясню на примере. Есть два правил (остальный отключил):

1. Разрашить пакеты - Local MAC    =Any

                                      Remote MAC = Any

 

                                      Local IP     = Any

                                      Remote IP = Any

 

2. Запретить пакеты - Local MAC    =Any

                                     Remote MAC = Any

 

По моей (видимо неверной) логике первое правило должно срабатывать всегда, т.к. разрешены пакеты с любого MAC и IPv4 адреса. Но упорно выполняется второе правило (это видно в статисике Packet Filter journal). Если второе правило отключить, то начинают успешно выполняться первые ))

 

Кто настраивал или программил эту функцию? Как она работает?

 



#2 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 25 Июнь 2013 - 14:17

В доке написано что: "Правила применяются последовательно, согласно очередности в списке". Что это значит?

Это значит, что должно срабатывать первое же правило, расположенное выше в списке правил. То есть, по идее,

По моей (видимо неверной) логике первое правило должно срабатывать всегда, т.к. разрешены пакеты с любого MAC и IPv4 адреса.

с логикой у Вас всё в порядке. :)
С уважением,
Борис А. Чертенко aka Borka.

#3 VVS

VVS

    The Master

  • Moderators
  • 17 375 Сообщений:

Отправлено 25 Июнь 2013 - 14:20

А что, где-нибудь написано, что, если сработало разрешающее правило, то обработка остальных правил не производится?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 25 Июнь 2013 - 14:36

А что, где-нибудь написано, что, если сработало разрешающее правило, то обработка остальных правил не производится?

А где-нибудь написано обратное?

Вы можете формировать список, добавляя новые или редактируя существующие правила фильтрации, а также изменяя порядок их выполнения. Правила применяются последовательно, согласно очередности в списке.

Может, я чего-то не понимаю, но если правило разрешающее сработало, то соединение должно быть установлено? Или как? Запоминаем, что правило разрешает, а потом ищем - а вдруг тем есть запрет для этого?

Кстати, Michael89, попробуйте поменять правила местами. :)
С уважением,
Борис А. Чертенко aka Borka.

#5 Michael89

Michael89

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 25 Июнь 2013 - 14:45

А что, где-нибудь написано, что, если сработало разрешающее правило, то обработка остальных правил не производится?

Хорошо, но как тогда файрволл будет себя вести с взаимоисключающими правилами?

 

В моём случае есть правило разрешить что-то и затем запретить это же, и всегда выполняется запрещающее правило.

Как тогда реализовать идею: Разреши ЭТО и ЭТО, а ВСЁ остальное запрети? (у меня срабатывает только "ВСЁ остальное запрети")



#6 VVS

VVS

    The Master

  • Moderators
  • 17 375 Сообщений:

Отправлено 25 Июнь 2013 - 14:49

А что, где-нибудь написано, что, если сработало разрешающее правило, то обработка остальных правил не производится?

А где-нибудь написано обратное?

Вы можете формировать список, добавляя новые или редактируя существующие правила фильтрации, а также изменяя порядок их выполнения. Правила применяются последовательно, согласно очередности в списке.

Может, я чего-то не понимаю, но если правило разрешающее сработало, то соединение должно быть установлено? Или как? Запоминаем, что правило разрешает, а потом ищем - а вдруг тем есть запрет для этого?

А если у тебя после разрешающего правила есть ещё одно, которое является подмножеством этого разрешающего?

Кстати, Michael89, попробуйте поменять правила местами. :)

IMHO тогда сработает запрещающее правило и на этом обработка правил закончится.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 Michael89

Michael89

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 25 Июнь 2013 - 14:54


Кстати, Michael89, попробуйте поменять правила местами. :)

IMHO тогда сработает запрещающее правило и на этом обработка правил закончится.

 

 

В том и дело, что при перестановке правил местами ничего не меняется. Об этом и вопрос!



#8 Michael89

Michael89

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 25 Июнь 2013 - 14:58

А если у тебя после разрешающего правила есть ещё одно, которое является подмножеством этого разрешающего?

Это я уже должен сам выставлять очерёдностью в списке. От самого конкретного к общим. (Это, опять же, моя логика и в Dr.web firewall она не применяется ))



#9 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 25 Июнь 2013 - 15:08

А что, где-нибудь написано, что, если сработало разрешающее правило, то обработка остальных правил не производится?

А где-нибудь написано обратное?

Вы можете формировать список, добавляя новые или редактируя существующие правила фильтрации, а также изменяя порядок их выполнения. Правила применяются последовательно, согласно очередности в списке.

Может, я чего-то не понимаю, но если правило разрешающее сработало, то соединение должно быть установлено? Или как? Запоминаем, что правило разрешает, а потом ищем - а вдруг тем есть запрет для этого?

А если у тебя после разрешающего правила есть ещё одно, которое является подмножеством этого разрешающего?

Где?

Объясню на примере. Есть два правил (остальный отключил)


С уважением,
Борис А. Чертенко aka Borka.



Also tagged with one or more of these keywords: firewall

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых