Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
Как это сделать одним или несколькими правилами?
(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)
>Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
>10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
>Как это сделать одним или несколькими правилами?
>(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)ipfw add pass ip from 10.0.9/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15и man ipfw
>> Маска сети: 255.0.0.0.>ipfw add pass ip from 10.0.9/24 to 10.0.9.15
>ipfw add deny ip from any to 10.0.9.15
>
>и man ipfw
ipfw add pass ip from 10.0.9/8 to 10.0.9.15а man ipfw в принудительном порядке!
>а man ipfw в принудительном порядке!это конечно, но там не все так понятно.
И на мой взгляд это не логично: если первое правило разрешает, а второе запрещает, то по моему должно быть запрещено для всех (т.е. было бы логичней ставить правила в другом порядке). И вообще порядок важен?И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?
>>а man ipfw в принудительном порядке!
>
>это конечно, но там не все так понятно.
>И на мой взгляд это не логично: если первое правило разрешает, а
>второе запрещает, то по моему должно быть запрещено для всех (т.е.
>было бы логичней ставить правила в другом порядке). И вообще порядок
>важен?
>
>И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То есть, то что ты открыл, следующим правилом не закроешь (закроется все остальное, ранее не открытое).
Маска 255.0.0.0 - это 8
>Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То
>есть, то что ты открыл, следующим правилом не закроешь (закроется все
>остальное, ранее не открытое).Проще говоря, правила просматриваются с первого до 65535ого и в этом порядке применяются.
ipfw add pass ip from 10.0.0.0/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15Означает, что если пакет имеет src=10.0.0.0/24 и dst=10.0.9.15, то он будет разрешен. Если нет, то если у него dst=10.0.9.15, то он будет запрещен. Если и это правило не подходит, применится дефолтовое 65535
На самом деле, ipfw интуитивно понятен