Re: ipfw und to 192.168.0.0/24

Skalla Raabjorn <skalla.raabjorn(at)gmx.de> wrote:
> ${fwcmd} add 2100 pass udp from any to 192.168.0.0/24 137,138 in via ${iif}
>
> komischer weise erlaubt diese Regel nicht Pakete an 192.168.0.255 also die
> Broadcast Adresse,
> die aber von Samba benutzt wird, obwohl 192.168.0.255 in 192.168.0.0/24
> liegt.

Hmm, kann eigentlich nicht sein. Bist Du sicher, daß nicht
an einer anderen Stelle etwas mit hineinspielt, z.B. eine
andere Regel, die vorher kommt? Ist das Interface richtig
konfiguriert (netmask und broadcast)?

Das wäre sonst ein _ziemlich_ obskurer Bug in IPFW. Klar,
IPFW hat Bugs, aber so einer wäre sicherlich schon vor Dir
jemandem aufgefallen, und ich sehe keinen PR, der darauf
passen würde. :-)

Wenn Du sicher bist, daß sonst alles richtig ist bei Deinem
Setup, könntest Du ja selbst einen PR einsenden.

> Ich umgehe das Problem zur Zeit folgender maßen:
>
> ${fwcmd} add 2100 pass udp from any to me 137,138 in via ${iif}
> ${fwcmd} add 2200 pass udp from any to 192.168.0.255 137,138 in via ${iif}

Eine Alternative, die Du versuchen könntest:

add pass udp from any to 192.168.0.0/24{x,255} 137,138 in via ${iif}

wobei x Deine eigene Adresse (letztes Oktett) ist. Die ge-
schweiften Klammern mußt Du evtl. in Anführungszeichen set-
zen, wenn Du das in 'nem Shellskript ausführen willst (die
haben für die Shell sonst eine spezielle Bedeutung).

Im normalen IPFW-Skript würde ich übrigens die Regelnummern
weglassen, damit die automatisch fortlaufend vergeben wer-
den. Ist sonst nur eine unnötige Quelle für Tippfehler.
Ein Fehler, der sich durch falsche Regelreihenfolge einge-
schlichen hat, ist extrem schwer zu finden, wenn man immer
nur in das Skript schaut (wo sie ja scheinbar in der rich-
tigen Reihenfolge stehen) ...

Die Regelnummern sollte man nur dann angeben, wenn man
manuell etwas zwischen zwei existierenden Regeln einfügen
will.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"The idea that Bill Gates has appeared like a knight in shining armour
to lead all customers out of a mire of technological chaos neatly ignores
ignores the fact that it was he who, by peddling second-rate technology,
led them into it in the first place." -- Douglas Adams (1952-2001)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message