Приветствую, коллеги!
Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3, IPFW2.
Есть там функция группировки адресов для компактности. Так вот, пишу в строчку
goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}"
более чем 15 сетей - система плюется.
Пишу вторым списком дополнительные сети
goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать, типа
ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1}
тоже ругается и плюется.
Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще глухо на этот счет!!

Влад

• IPFW - группировка адресов не идет больше 15,newser, 12:07 , 06-Июл-05
  • IPFW - группировка адресов не идет больше 15,Valdemar, 12:26 , 06-Июл-05
    • IPFW - группировка адресов не идет больше 15,Chris, 17:57 , 06-Июл-05
      • IPFW - группировка адресов не идет больше 15,Valdemar, 19:19 , 06-Июл-05
        • IPFW - группировка адресов не идет больше 15,Moralez, 05:04 , 07-Июл-05
• IPFW - группировка адресов не идет больше 15,Pahanivo, 08:19 , 07-Июл-05
  • IPFW - группировка адресов не идет больше 15,Valdemar, 10:20 , 07-Июл-05
    • IPFW - группировка адресов не идет больше 15,newser, 10:37 , 07-Июл-05
      • IPFW - группировка адресов не идет больше 15,Moralez, 10:57 , 07-Июл-05
        • IPFW - группировка адресов не идет больше 15,newser, 10:59 , 07-Июл-05
        • IPFW - группировка адресов не идет больше 15,Valdemar, 11:42 , 07-Июл-05

>Приветствую, коллеги!
>Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3,
>IPFW2.
>Есть там функция группировки адресов для компактности. Так вот, пишу в строчку
>
>goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}"
>более чем 15 сетей - система плюется.
>Пишу вторым списком дополнительные сети
>goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать,
>типа
>ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1}
>тоже ругается и плюется.
>Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще
>глухо на этот счет!!
>
>Влад

А два и более правила использовать не судьба?

>А два и более правила использовать не судьба?

Не смешно. КОгда правил набирается тысячами и когда изменения приходится делать сразу в 10 местах одновременно, где-то прошляпил и система валится - вот тогда и начинаешь вспоминать такой дельный совет по поводу двух и более правил.

Если мне нужно воткнуть более 15 сетей, то это уже о многом говорит, как я полагаю. А сеть - это не банальный /24. Понимаешь?

У меня в фаере IPFW чуть более 3000 правил, и нормально, быстро работает, главное знать как настроить 6-)

>У меня в фаере IPFW чуть более 3000 правил, и нормально, быстро
>работает, главное знать как настроить 6-)

Да дело то не в скорострельности... А в том, что компоновать правила надо. Систематизировать.
В общем - не о том говорим. Вопрос был - можно или нельзя вписать больше 15 сетей в группировку?

нельзя, нельзя. Написано же в документации.

Если надо автоматизировать, то вообще делай по одному адресу на правило.
И net.inet.ip.fw.autoinc_step поменьше.

>Приветствую, коллеги!
>Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3,
>IPFW2.
>Есть там функция группировки адресов для компактности. Так вот, пишу в строчку
>
>goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}"
>более чем 15 сетей - система плюется.
>Пишу вторым списком дополнительные сети
>goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать,
>типа
>ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1}
>тоже ругается и плюется.
>Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще
>глухо на этот счет!!
>
>Влад

Элементарно ....
-------------------------
#! /bin/sh
badgays='
1.1.1.1
2.2.2.2
3.3.3.3'

for loop in $badgays
do
echo ipfw add ip deny $loop ....
done
------------------------
Я думаю буде работать быстрей группировки, вполне согласен с предыдущими мнениями для отдельного правила на сеть. Ктомуже вывод активных правил смотреть приятней

Понятно. Спасибо!
Жаль, придется н есколько групп писать..
Теперь смотрите, в чем заморочка - есть постоянно меняющийся список сетей. И есть правила для каждого пользователя. Набирается достаточно много. Так вот, при наборе в несколько сот правил если в списке сетей меняется сеть или добавляется новая, то приходится ее переписывать в сотнях правил одновременно, понимаете? Вот почему требуется группировка.

Ну, нет так нет, буду группировать по 15 сетей - и то легче будет...

Спасибо всем за помощь!!!

Влад

>Понятно. Спасибо!
>Жаль, придется н есколько групп писать..
>Теперь смотрите, в чем заморочка - есть постоянно меняющийся список сетей. И
>есть правила для каждого пользователя. Набирается достаточно много. Так вот, при
>наборе в несколько сот правил если в списке сетей меняется сеть
>или добавляется новая, то приходится ее переписывать в сотнях правил одновременно,
>понимаете? Вот почему требуется группировка.
>
>Ну, нет так нет, буду группировать по 15 сетей - и то
>легче будет...
>
>Спасибо всем за помощь!!!
>
>Влад

Можно попробовать свести задачу к написанию скрипта на sh/perl, который будет генерировать все необходимое. Тогда изменения можно вносить только в одно определенное место (например, сделать какой-нибудь конфиг script.conf, только нужно немного поразмыслить над его структурой), потом перегенерировать правила и все.

проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для таких извращений и придуманы....

>проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для
>таких извращений и придуманы....

Надо будет глянуть, лично я его еще не курил... :)

>проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для
>таких извращений и придуманы....

Ну у меня как раз пятая и стоит - 5.3
А вот с pf я не работал - это че такое?