URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47007
[ Назад ]

Исходное сообщение
"ipfw и 1.2.3.4/24{128,35-55,89}"
Отправлено TheSam , 09-Авг-04 20:59

Такой вопрос. Я хочу входить на рабочий сервер по ssh из дому.. Домашний провайдер дает динамический ip... пул примерно на 30 ip.. Как прописать в файрволе правило только один раз для всех ip, а не 30 для кадждого ip в отдельности....
в man ipfw нашел:
list: {num | num-num}[,list]
Matches all addresses with base address addr (specified as a dotted quad or a hostname) and whose last byte is in the list between braces { } . Note that there must be no spaces between braces and numbers (spaces after commas are allowed). Elements of the list can be specified as single entries or ranges. The masklen field is used to limit the size of the set of addresses, and can have any value between 24 and 32. If not specified, it will be assumed as 24. This format is particularly useful to handle sparse address sets within a single rule. Because the matching occurs using a bitmask, it takes constant time and dramatically reduces the com plexity of rulesets.As an example, an address specified as 1.2.3.4/24{128,35-55,89} will match the following IP addresses: 1.2.3.128, 1.2.3.35 to 1.2.3.55, 1.2.3.89 .
все хорошо, только не пойму почему:
The masklen field is used to limit the size of the set of addresses, and can have any value between 24 and 32 (а как быть если надо указать к примеру от 192.1.1.1 до 192.1.6.55)
А сейчас вообще вопрос дурацкий: а какой netmask у инетовски адрессов? Вообщем прошу помощи.

Содержание

ipfw и 1.2.3.4/24{128,35-55,89},hatta, 21:39 , 09-Авг-04

Сообщения в этом обсуждении

"ipfw и 1.2.3.4/24{128,35-55,89}"
Отправлено hatta , 09-Авг-04 21:39

>все хорошо, только не пойму почему:
>The masklen field is used to limit the size of the set
>of addresses, and can have any value between 24 and 32
>(а как быть если надо указать к примеру от 192.1.1.1 до
>192.1.6.55)
Там, кажется, списки адресов можно складывать:
ipfw add allow all from 192.1.2.{1-55},192.1.3.{1-55},192.1.4.{1-55} to me
, например.
>А сейчас вообще вопрос дурацкий: а какой netmask у инетовски адрессов?
число за слешем здесь - это не нетмаск, хотя в принципе выполняет ту же роль по проверке принадлежности адресов некоему диапазону, те можно написать
192.168.0.1/24{1-31} и 192.168.0.1/27{1-31} и по идее второй вариант должен работать быстрее, если я ничего не путаю... А для инетовских адресов нетмаск не нужен, поскольку по сути своей предназначен для различения адресов своей сети и чужой(интернета).