URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39466
[ Назад ]

Исходное сообщение
"Помогите с правилом IPFW"

Отправлено TechnoDreamer , 17-Янв-04 11:57 
Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
Как это сделать одним или несколькими правилами?
(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)

Содержание

Сообщения в этом обсуждении
"Помогите с правилом IPFW"
Отправлено yard , 17-Янв-04 13:34 
>Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
>10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
>Как это сделать одним или несколькими правилами?
>(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)

ipfw add pass ip from 10.0.9/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15

и man ipfw


"Помогите с правилом IPFW"
Отправлено Alatar , 17-Янв-04 15:25 
>> Маска сети: 255.0.0.0.

>ipfw add pass ip from 10.0.9/24 to 10.0.9.15
>ipfw add deny ip from any to 10.0.9.15
>
>и man ipfw


ipfw add pass ip from 10.0.9/8 to 10.0.9.15

а man ipfw в принудительном порядке!


"Помогите с правилом IPFW"
Отправлено TechnoDreamer , 18-Янв-04 12:06 
>а man ipfw в принудительном порядке!

это конечно, но там не все так понятно.
И на мой взгляд это не логично: если первое правило разрешает, а второе запрещает, то по моему должно быть запрещено для всех (т.е. было бы логичней ставить правила в другом порядке). И вообще порядок важен?

И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?



"Помогите с правилом IPFW"
Отправлено andrew , 18-Янв-04 15:00 
>>а man ipfw в принудительном порядке!
>
>это конечно, но там не все так понятно.
>И на мой взгляд это не логично: если первое правило разрешает, а
>второе запрещает, то по моему должно быть запрещено для всех (т.е.
>было бы логичней ставить правила в другом порядке). И вообще порядок
>важен?
>
>И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?

Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То есть, то что ты открыл, следующим правилом не закроешь (закроется все остальное, ранее не открытое).
Маска 255.0.0.0 - это 8


"Помогите с правилом IPFW"
Отправлено Alatar , 18-Янв-04 23:20 
>Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То
>есть, то что ты открыл, следующим правилом не закроешь (закроется все
>остальное, ранее не открытое).

Проще говоря, правила просматриваются с первого до 65535ого и в этом порядке применяются.

ipfw add pass ip from 10.0.0.0/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15

Означает, что если пакет имеет src=10.0.0.0/24 и dst=10.0.9.15, то он будет разрешен. Если нет, то если у него dst=10.0.9.15, то он будет запрещен. Если и это правило не подходит, применится дефолтовое 65535

На самом деле, ipfw интуитивно понятен