URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39466
[ Назад ]

Исходное сообщение
"Помогите с правилом IPFW"
Отправлено TechnoDreamer , 17-Янв-04 11:57

Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
Как это сделать одним или несколькими правилами?
(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)

Содержание

Помогите с правилом IPFW,yard, 13:34 , 17-Янв-04
- Помогите с правилом IPFW,Alatar, 15:25 , 17-Янв-04
  - Помогите с правилом IPFW,TechnoDreamer, 12:06 , 18-Янв-04
    - Помогите с правилом IPFW,andrew, 15:00 , 18-Янв-04
      - Помогите с правилом IPFW,Alatar, 23:20 , 18-Янв-04

Сообщения в этом обсуждении

"Помогите с правилом IPFW"
Отправлено yard , 17-Янв-04 13:34

>Нужно блокировать доступ к компьютеру 10,0,9,15 отовсюду кроме подсети
>10.0.9.0-10.0.9.255. Маска сети: 255.0.0.0. Трафик проходит через роутер.
>Как это сделать одним или несколькими правилами?
>(На худой конец как блокировать просто например подсеть 10.0.7.0-255?)
ipfw add pass ip from 10.0.9/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15
и man ipfw

"Помогите с правилом IPFW"
Отправлено Alatar , 17-Янв-04 15:25

>> Маска сети: 255.0.0.0.
>ipfw add pass ip from 10.0.9/24 to 10.0.9.15
>ipfw add deny ip from any to 10.0.9.15
>
>и man ipfw

ipfw add pass ip from 10.0.9/8 to 10.0.9.15
а man ipfw в принудительном порядке!

"Помогите с правилом IPFW"
Отправлено TechnoDreamer , 18-Янв-04 12:06

>а man ipfw в принудительном порядке!
это конечно, но там не все так понятно.
И на мой взгляд это не логично: если первое правило разрешает, а второе запрещает, то по моему должно быть запрещено для всех (т.е. было бы логичней ставить правила в другом порядке). И вообще порядок важен?
И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?

"Помогите с правилом IPFW"
Отправлено andrew , 18-Янв-04 15:00

>>а man ipfw в принудительном порядке!
>
>это конечно, но там не все так понятно.
>И на мой взгляд это не логично: если первое правило разрешает, а
>второе запрещает, то по моему должно быть запрещено для всех (т.е.
>было бы логичней ставить правила в другом порядке). И вообще порядок
>важен?
>
>И еще маска 255.0.0.0 - это 10.0.9/24 или 10.0.9/8 ?
Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То есть, то что ты открыл, следующим правилом не закроешь (закроется все остальное, ранее не открытое).
Маска 255.0.0.0 - это 8

"Помогите с правилом IPFW"
Отправлено Alatar , 18-Янв-04 23:20

>Все логично, порядок важен :) Каждое предыдущее правило имеет больший приоритет. То
>есть, то что ты открыл, следующим правилом не закроешь (закроется все
>остальное, ранее не открытое).
Проще говоря, правила просматриваются с первого до 65535ого и в этом порядке применяются.
ipfw add pass ip from 10.0.0.0/24 to 10.0.9.15
ipfw add deny ip from any to 10.0.9.15
Означает, что если пакет имеет src=10.0.0.0/24 и dst=10.0.9.15, то он будет разрешен. Если нет, то если у него dst=10.0.9.15, то он будет запрещен. Если и это правило не подходит, применится дефолтовое 65535
На самом деле, ipfw интуитивно понятен