URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 18196
[ Назад ]

Исходное сообщение
"ipfw - непонятно..."
Отправлено Mesmer , 27-Июн-02 16:17

Вот набор правил ipfw
00050 divert 8668 ip from any to any via ed0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny icmp from any to any frag
00500 allow icmp from any to any
00600 allow ip from any to any out xmit rl0
00700 allow ip from any to any in recv rl0
00800 reset log logamount 200 tcp from any to any 113 in recv ed0
00900 allow ip from 192.168.1.4 to any
01000 allow ip from any to 192.168.1.4
01100 count log logamount 200 ip from any to any
Хотелось, чтобы хосту 192.168.1.4 было разрешено проходить сквозь, а остальным - запрещено. Пинг идет (00500) а вот остальное - нет. Где я ошибаюсь?
Еще - строка типа
{$fwcmd} add ip from any to any 20,21
вызывает ругань (кажется, что вполне справедливую) на тему, что порты можно указывать только для tcp или только для udp. Но вот в примерах настройки ipfw подобное встречается часто :-( Кто глючит - авторы примеров или моя система?

Содержание

Эх, специалисты...,Monstruk, 07:40 , 28-Июн-02
- RE: Эх, специалисты...,Leo, 09:36 , 28-Июн-02
  - RE: Эх, специалисты...,Monstruk, 10:40 , 28-Июн-02
- RE: Эх, специалисты...,Leo, 09:37 , 28-Июн-02
  - RE: Эх, специалисты...,Leo, 10:52 , 28-Июн-02
    - RE: Эх, специалисты...,Monstruk, 11:48 , 28-Июн-02
  - RE: Эх, специалисты...,Leo, 10:57 , 28-Июн-02
    - RE: Эх, специалисты...,Monstruk, 11:44 , 28-Июн-02
      - ipfw,alexey, 11:58 , 28-Июн-02
        
        RE: ipfw,Leo, 12:33 , 28-Июн-02
        
        RE: ipfw,Monstruk, 12:47 , 28-Июн-02
        
        RE: ipfw,Monstruk, 12:42 , 28-Июн-02
RE: ipfw - непонятно...,Orbita, 15:03 , 29-Июн-02
RE: ipfw - непонятно...,Orbita, 15:16 , 29-Июн-02

Сообщения в этом обсуждении

"Эх, специалисты..."
Отправлено Monstruk , 28-Июн-02 07:40

Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим любимым ответом типа "man ipfw" ?

"RE: Эх, специалисты..."
Отправлено Leo , 28-Июн-02 09:36

>Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим
>любимым ответом типа "man ipfw" ?
У тебя по умолчанию все закрыто?

"RE: Эх, специалисты..."
Отправлено Monstruk , 28-Июн-02 10:40

>>Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим
>>любимым ответом типа "man ipfw" ?
>
>У тебя по умолчанию все закрыто?
Да. По умолчанию все закрыто. Если сказать pass all from any to any, все коннектится как надо. Но нужно, чтоб коннектилось только с избранных адресов, по ним считалась раздельная статистика, а остальных - нафиг.

"RE: Эх, специалисты..."
Отправлено Leo , 28-Июн-02 09:37

Я делаю примерно то же само только у меня еще сквид к тому же прозрачный как изнутри так и снаружи.

"RE: Эх, специалисты..."
Отправлено Leo , 28-Июн-02 10:52

Ну статистику он будет считать хоть конекться хоть нет, это неважно.
А сейчас не работает?

"RE: Эх, специалисты..."
Отправлено Monstruk , 28-Июн-02 11:48

>Ну статистику он будет считать хоть конекться хоть нет, это неважно.
>
>А сейчас не работает?
Если не разрешить все и всем, не работает. Если разрешить, то (вот ведь прикол) статистику по отдельному пользователю считает. Но и все остальные могут пользоваться и попадают только в общую статистику.

"RE: Эх, специалисты..."
Отправлено Leo , 28-Июн-02 10:57

На ed0 открой коннект

"RE: Эх, специалисты..."
Отправлено Monstruk , 28-Июн-02 11:44

>На ed0 открой коннект
Это как? Чтоб ко мне извне ходили все, кому не лень? Мне нужно открыть доступ к одной из машин в локальной сети с определенного адреса (диапазона) и по определенному протоколу. Как это сделать?

"ipfw"
Отправлено alexey , 28-Июн-02 11:58

первый вопрос, а у тебя natd -n ed0 запушен?
второе вместо правил 600 и 700 можно написать allow ip from any to any via rl0
И чего то я не видел в примерах add ip from any to any 20,21 где ты это выкопал?

"RE: ipfw"
Отправлено Leo , 28-Июн-02 12:33

>первый вопрос, а у тебя natd -n ed0 запушен?
>второе вместо правил 600 и 700 можно написать allow ip from any
>to any via rl0
>И чего то я не видел в примерах add ip from any
>to any 20,21 где ты это выкопал?
Так разреши только нужным машинам на внтурненний интерфейс коннектится, а на внешний с любой но по нужным протоколам

"RE: ipfw"
Отправлено Monstruk , 28-Июн-02 12:47

>Так разреши только нужным машинам на внтурненний интерфейс коннектится, а на внешний
>с любой но по нужным протоколам
Так КАК это сделать? Чегой-то совсем перестал я в этой жизни понимать.
Почему не помогают правила 00900 b 01000 ? Оно ж нифига не коннектится!

"RE: ipfw"
Отправлено Monstruk , 28-Июн-02 12:42

>первый вопрос, а у тебя natd -n ed0 запушен?
Запущен! И работает.
>второе вместо правил 600 и 700 можно написать allow ip from any
>to any via rl0
Согласен, это от замороченности, ошметки муторного экспериментирования...
>И чего то я не видел в примерах add ip from any
>to any 20,21 где ты это выкопал?
Так я ж говорю "типа". Щас так просто не найду, откуда я те примеры выкапывал, но было там именно ip и определенные порты :(

"RE: ipfw - непонятно..."
Отправлено Orbita , 29-Июн-02 15:03

00100 allow ip from 192.168.1.4 to any
00200 allow ip from any to 192.168.1.4
00300 allow ip from any to any via lo0
00400 deny ip from any to 127.0.0.0/8
00500 deny ip from 127.0.0.0/8 to any
00600 divert 8668 ip from any to any via ed0

>Еще - строка типа
>{$fwcmd} add ip from any to any 20,21
add tcp !!!!

"RE: ipfw - непонятно..."
Отправлено Orbita , 29-Июн-02 15:16

00900 allow ip from 192.168.1.4 to any via rl0
01000 allow ip from any to 192.168.1.4 via rl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00050 divert 8668 ip from any to any via ed0

>{$fwcmd} add ip from any to any 20,21
Только tcp !!