URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 37862
[ Назад ]

Исходное сообщение
"ipfw i paru adresov"
Отправлено ad , 28-Ноя-03 20:59

Привет всем
подскажите как сделать, что бы через freebsd 4.9 который выполняет роль роутера пустить всего пару адресов, разрешив им все порты, кроме 135-139.
На сам роутер должен быть доступ только с одного IP по ssh.
Вроде все понятно - но начал делать по примеру:
#!/bin/sh
$fwcmd -f flush
$fwcmd add 100 check-state
$fwcmd add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
$fwcmd add 210 reject ip from $LAN1_RANGE to any in via $INET_IFACE
$fwcmd add 300 allow ip from any to any via lo
$fwcmd add 310 allow tcp from me to any keep-state via $INET_IFACE
$fwcmd add 320 allow icmp from any to any
$fwcmd add 350 allow ip from me to any
$fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via $INET_IFACE
$fwcmd add 510 divert natd ip from any to $INET_IP
$fwcmd add 600 allow ip from 192.168.1.4 to any
$fwcmd add 620 allow ip from any to 192.168.1.4
$fwcmd add 65534 deny ip from any to any
и нучего не идет.
стоит только изменить
$fwcmd add 65534 deny ip from any to any
на
$fwcmd add 65534 allow ip from any to any
И все у всех идет. но мне нужен только один IP "192.168.1.4"
Помогите, плз, чего я не допонял.

Содержание

ipfw i paru adresov,Andrey, 21:20 , 28-Ноя-03

Сообщения в этом обсуждении

"ipfw i paru adresov"
Отправлено Andrey , 28-Ноя-03 21:20

>Привет всем
>подскажите как сделать, что бы через freebsd 4.9 который выполняет роль роутера
>пустить всего пару адресов, разрешив им все порты, кроме 135-139.
>На сам роутер должен быть доступ только с одного IP по ssh.
>
>Вроде все понятно - но начал делать по примеру:
>#!/bin/sh
>$fwcmd -f flush
>$fwcmd add 100 check-state
>$fwcmd add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>
>$fwcmd add 210 reject ip from $LAN1_RANGE to any in via $INET_IFACE
>
>
>$fwcmd add 300 allow ip from any to any via lo
>$fwcmd add 310 allow tcp from me to any keep-state via $INET_IFACE
>
>$fwcmd add 320 allow icmp from any to any
>$fwcmd add 350 allow ip from me to any
>
>$fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via
>$INET_IFACE
>$fwcmd add 510 divert natd ip from any to $INET_IP
>
>$fwcmd add 600 allow ip from 192.168.1.4 to any
>$fwcmd add 620 allow ip from any to 192.168.1.4
>
>$fwcmd add 65534 deny ip from any to any
>
>и нучего не идет.
>стоит только изменить
>$fwcmd add 65534 deny ip from any to any
>на
>$fwcmd add 65534 allow ip from any to any
>И все у всех идет. но мне нужен только один IP "192.168.1.4"
>
>Помогите, плз, чего я не допонял.
До этих строк:
$fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via $INET_IFACE
$fwcmd add 510 divert natd ip from any to $INET_IP
src-ip будет принадлежать 192.168.1.0/24
После них (строк) в заголовке будет уже $INET_IP
Так что обыное
${fwcmd} add 520 allow proto ip src-ip $INET_IP
${fwcmd} add 520 allow proto ip dst-ip $INET_IP
А разрешать или нет выходить в интеренет в таком случаии надо до divert-а