URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 50165
[ Назад ]

Исходное сообщение
"ipfw,natd,forward короче всё вместе"
Отправлено Nerian , 04-Ноя-04 22:21

Возникло два вопроса по всем этим сетевым делам:
1) Можно ли как нибудь ограничеть число машин которые бы обрабатывались через нат? наверное это можно сделать фаерволом изменив правило divert, any to any via xl1... вот только как? :) Подскажите, а то голову всю себе сломал, пивом уже даже не лечиться
2) Есть выход в инет, допустем с адресами 213.184.143.x, есть внурнеться сеть 192.168.1.x. Соединины фаерволом. Можно ли как нибудь сделать чтобы из сети 192.168.1.x можно было обращаться к серверам из 213.184.143.x при этом не видя всего интернета. Если как то плиз линк или документация.
Ось FreeBSD 4.9-STABLE. Вопщем буду очень признателен.

Содержание

ipfw,natd,forward короче всё вместе,9009, 09:50 , 05-Ноя-04
- ipfw,natd,forward короче всё вместе,Nerian, 14:20 , 05-Ноя-04
  - ipfw,natd,forward короче всё вместе,alk, 14:37 , 05-Ноя-04

Сообщения в этом обсуждении

"ipfw,natd,forward короче всё вместе"
Отправлено 9009 , 05-Ноя-04 09:50

1) перед дивертами (или вообще первыми) - ставь правила, типа ipfw add 1000 pass all from 192.168.0.1 to any
- с ипарями, кому можно натиться
2) также разрешить линк ТОЛЬКО на другую сетку от всех своих (и себя ессно)

"ipfw,natd,forward короче всё вместе"
Отправлено Nerian , 05-Ноя-04 14:20

>1) перед дивертами (или вообще первыми) - ставь правила, типа ipfw add
>1000 pass all from 192.168.0.1 to any
>- с ипарями, кому можно натиться
>
>2) также разрешить линк ТОЛЬКО на другую сетку от всех своих (и
>себя ессно)
А вото тут не прав, насколько мне извесно фаервол при сопостовление правила, действует по нему, при этом другие правила пропускаеться, следовательно диверта не произойдёт

"ipfw,natd,forward короче всё вместе"
Отправлено alk , 05-Ноя-04 14:37

>>1) перед дивертами (или вообще первыми) - ставь правила, типа ipfw add
>>1000 pass all from 192.168.0.1 to any
>>- с ипарями, кому можно натиться
>>
>>2) также разрешить линк ТОЛЬКО на другую сетку от всех своих (и
>>себя ессно)
>
>А вото тут не прав, насколько мне извесно фаервол при сопостовление правила,
>действует по нему, при этом другие правила пропускаеться, следовательно диверта не
>произойдёт

man ipfw
If you administer one or more subnets, you can take advantage of the
     ipfw2 syntax to specify address sets and or-blocks and write extremely
     compact rulesets which selectively enable services to blocks of clients,
     as below:
           goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
           badguys="10.1.2.0/24{8,38,60}"
           ipfw add allow ip from ${goodguys} to any
           ipfw add deny ip from ${badguys} to any
           ... normal policies ...

пишем к примеру
${ipfw} add divert 8668 ip from 192.168.50.0/24{81,82,121,154,165,201,202,203,204,210,243,246,247,248} to any out xmit rl0