URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62279
[ Назад ]

Исходное сообщение
"Вопрос по IPFW"
Отправлено Xaep , 30-Ноя-05 14:51

Сделаны правила
....
add 659 divert 8668 ip from 192.168.80.24 to any via xl0
add 660 divert 8668 ip from 192.168.80.25 to any via xl0
add 661 divert 8668 ip from any to xxx.xxx.xxx.xxx via xl0
add allow ip from any to xxx.xxx.xxx.xxx
add allow ip from xxx.xxx.xxx.xxx to any
И таких сетей 192.168.X.Y прописанно для X от 100 до 200, и Y все 255.
Физически система предсталяет собой один роутер с двумя сетевухами. На одну прописан реальный ип, на другую все остальные сети... типа 192.168.X.254
Вопрос какими правилами можно закрыть сети между собой. То есть чтобы из сети 192.168.X.Y нельзя было попасть в сеть в любую другую сеть(у которой X имеет отличное значение).
Другими словами есть 100 виртуальных сетей класса С (192.168.X.0 с маской 255.255.255.0), которые ходят в интеренет через один роутер. Как мне закрыть доступ между виртуальными сетями.

Содержание

Вопрос по IPFW,Provokator, 15:45 , 30-Ноя-05
- Вопрос по IPFW,Xaep, 16:20 , 30-Ноя-05
  - Вопрос по IPFW,YuryD, 16:30 , 30-Ноя-05
    - Вопрос по IPFW,Xaep, 16:33 , 30-Ноя-05

Сообщения в этом обсуждении

"Вопрос по IPFW"
Отправлено Provokator , 30-Ноя-05 15:45

ipfw add reset ip from 192.168.0.0/24 to 192.168.100.0/24 via ${ifin}
ifin - внутренний интерфейс, которым смотрит в локалку

"Вопрос по IPFW"
Отправлено Xaep , 30-Ноя-05 16:20

>ipfw add reset ip from 192.168.0.0/24 to 192.168.100.0/24 via ${ifin}
>
>ifin - внутренний интерфейс, которым смотрит в локалку

Стоп... вопрос возник...
from 192.168.0.0/24 - это какой диапазон?
по-моему с 192.168.0.0 до 192.168.0.192
короче это вроде как по последнему байту адреса, а у меня разница между сетями в предпоследнем... то есть мне нельзя между 192.168.X1.Y1 И 192.168.X2.Y2 перекидывать пакеты, при условии, что X1!=X2
Или я не прав?

"Вопрос по IPFW"
Отправлено YuryD , 30-Ноя-05 16:30

>по-моему с 192.168.0.0 до 192.168.0.192
Нет, /24 это полная С-сеть
>Другими словами есть 100 виртуальных сетей класса С (192.168.X.0 с маской >255.255.255.0), которые ходят в интеренет через один роутер. Как мне >закрыть доступ между виртуальными сетями.
Да никак, поставят себе IPX/SPX и все.... На одном интерфейсе все.
Если только по IP, - то можно закрыть, и то с трудом. Поставят себе маски
255.0.0.0 и пофиг ipfw

"Вопрос по IPFW"
Отправлено Xaep , 30-Ноя-05 16:33

>>по-моему с 192.168.0.0 до 192.168.0.192
>
> Нет, /24 это полная С-сеть
>
>>Другими словами есть 100 виртуальных сетей класса С (192.168.X.0 с маской >255.255.255.0), которые ходят в интеренет через один роутер. Как мне >закрыть доступ между виртуальными сетями.
>
> Да никак, поставят себе IPX/SPX и все.... На одном интерфейсе все.
>
> Если только по IP, - то можно закрыть, и то с
>трудом. Поставят себе маски
> 255.0.0.0 и пофиг ipfw

Понятно, а при условии, что они маски менять не будут... Просто чтобы пакеты из одной сети класса С, при начальных условиях, не ходили в другую?