URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80480
[ Назад ]

Исходное сообщение
"ipfw маршрутизация"
Отправлено laden , 27-Май-08 15:43

Дико извеняюсь если не там темуц создал, но все таки спрошу... с фрей дружу немного настроил только маршрутизацию. У меня вопрос - как сделать так, что бы трафик раздавался не по всей сети и любому IP адресу, а только на конкретные.
вот что у меня прописанно
laden# ipfw show
00010   19697    2299296 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00020 3795331  279666903 divert 8668 ip from 192.168.0.0/24 to any
00030 2611894 2864961477 divert 8668 ip from any to 85.198.105.254
00040 4522172 4957896054 allow ip from any to 192.168.0.2
00050 1527353  104136517 allow ip from 192.168.0.2 to any
00060  187311  167245138 allow ip from any to 192.168.0.3
00070   83323   13107802 allow ip from 192.168.0.3 to any
10000 2699313  766382791 allow ip from any to any
65535      21       2076 allow ip from any to any
что еще дописать??? Заранее спасибо

Содержание

ipfw маршрутизация,PavelR, 15:48 , 27-Май-08
- ipfw маршрутизация,laden, 15:53 , 27-Май-08
  - ipfw маршрутизация,PavelR, 16:44 , 27-Май-08
    - ipfw маршрутизация,laden, 16:46 , 27-Май-08
      - ipfw маршрутизация,PavelR, 16:54 , 27-Май-08
        
        ipfw маршрутизация,laden, 16:58 , 27-Май-08
        
        ipfw маршрутизация,PavelR, 17:03 , 27-Май-08
        
        ipfw маршрутизация,laden, 17:12 , 27-Май-08
ipfw маршрутизация,mixa, 17:58 , 27-Май-08
- ipfw маршрутизация,laden, 18:02 , 27-Май-08
- ipfw маршрутизация,mixa, 18:03 , 27-Май-08
  - ipfw маршрутизация,PavelR, 19:23 , 27-Май-08
    - ipfw маршрутизация,mixa, 21:22 , 27-Май-08
      - ipfw маршрутизация,PavelR, 06:43 , 28-Май-08

Сообщения в этом обсуждении

"ipfw маршрутизация"
Отправлено PavelR , 27-Май-08 15:48

в 00020 и 00030 добавить указание направления (вход выход) и интерфейс

"ipfw маршрутизация"
Отправлено laden , 27-Май-08 15:53

>в 00020 и 00030 добавить указание направления (вход выход) и интерфейс
эм... в смысле? я просто пока плохо разбераюсь)) можно обозвать чайником))

"ipfw маршрутизация"
Отправлено PavelR , 27-Май-08 16:44

правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.

"ipfw маршрутизация"
Отправлено laden , 27-Май-08 16:46

>правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить
>запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.
то есть прописать 35-ым add deny ip from 192.168.0.0/24 to 192.168.0.0/24
я тебя правильно понял?))

"ipfw маршрутизация"
Отправлено PavelR , 27-Май-08 16:54

>>правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить
>>запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.
>
>то есть прописать 35-ым add deny ip from 192.168.0.0/24 to 192.168.0.0/24
>я тебя правильно понял?))
нет.
add deny ip from any to 192.168.0.0/24

"ipfw маршрутизация"
Отправлено laden , 27-Май-08 16:58

попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках

"ipfw маршрутизация"
Отправлено PavelR , 27-Май-08 17:03

>попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках
помоему вам нужно обратиться к документации. На сегодня учебные часы окончены.

"ipfw маршрутизация"
Отправлено laden , 27-Май-08 17:12

Ладно, все рано спасибо, буду пробовать

"ipfw маршрутизация"
Отправлено mixa , 27-Май-08 17:58

>[оверквотинг удален]
>00040 4522172 4957896054 allow ip from any to 192.168.0.2
>00050 1527353  104136517 allow ip from 192.168.0.2 to any
>00060  187311  167245138 allow ip from any to 192.168.0.3
>00070   83323   13107802 allow ip from 192.168.0.3 to
>any
>10000 2699313  766382791 allow ip from any to any
>65535      21
> 2076 allow ip from any to any
>
>что еще дописать??? Заранее спасибо
Если предположим ваш внешний интерфейс rl0 то тогда так
# Натим и дивертим через внешний IP и интерфейс rl0
100 divert 8668 ip from 192.168.0.0/24 to any via rl0
110 divert 8668 ip from any to 85.198.105.254 via rl0
# Разрешаем инет кому надо
200 allow ip from any to 192.168.0.2/24,192.168.0.3/24
210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any
# Разрешаем локалку
300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
# Запрещаем всем остальным
400 deny ip from 192.168.0.0/24 to any
Это тот минимум что нужно
Правили 100 и 110 можно объединить в одно
100 divert 8668 ip from any to any via rl0

"ipfw маршрутизация"
Отправлено laden , 27-Май-08 18:02

>[оверквотинг удален]
># Разрешаем инет кому надо
>200 allow ip from any to 192.168.0.2/24,192.168.0.3/24
>210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any
># Разрешаем локалку
>300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
># Запрещаем всем остальным
>400 deny ip from 192.168.0.0/24 to any
>Это тот минимум что нужно
>Правили 100 и 110 можно объединить в одно
>
100 divert 8668 ip from any to any via rl0

Вааа!!! Огромное спасибо!!!

"ipfw маршрутизация"
Отправлено mixa , 27-Май-08 18:03

ОписАлся в предыдущем ))
В правилах 200 и 210 разумеется вместо /24 читать надо /32
# Натим и дивертим через внешний IP и интерфейс rl0
100 divert 8668 ip from 192.168.0.0/24 to any via rl0
110 divert 8668 ip from any to 85.198.105.254 via rl0
# Разрешаем инет кому надо
200 allow ip from any to 192.168.0.2/32,192.168.0.3/32
210 allow ip from 192.168.0.2/32,192.168.0.3/32 to any
# Разрешаем локалку
300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
# Запрещаем всем остальным
400 deny ip from 192.168.0.0/24 to any

Это тот минимум что нужно
Правили 100 и 110 можно объединить в одно
100 divert 8668 ip from any to any via rl0

"ipfw маршрутизация"
Отправлено PavelR , 27-Май-08 19:23

>Правили 100 и 110 можно объединить в одно
>
100 divert 8668 ip from any to any via rl0

Можно, но не всегда это является нужным и правильным. Иногда (даже более того, в большинстве случаев) _нужно_ делать фильтрацию _до_ диверта:
например:
50 drop all from <серые сети> in via <реальный интерфейс>
60 drop all from any to <мои серые сети> in via <реальный интерфейс>
__ диверт __

Это повысит безопасность локалки..

Рекомендую обратиться к rc.firewall как к первоисточнику.

"ipfw маршрутизация"
Отправлено mixa , 27-Май-08 21:22

>[оверквотинг удален]
>50 drop all from <серые сети> in via <реальный интерфейс>
>60 drop all from any to <мои серые сети> in via <реальный интерфейс>
>
>__ диверт __
>
>
>Это повысит безопасность локалки..
>
>
>Рекомендую обратиться к rc.firewall как к первоисточнику.
Абсолютно с этим согласен.
Ну что на это можно сказать?!
Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы не включать!
Ну а так, я и говорю, что привиденные мною првила - это минимум.

"ipfw маршрутизация"
Отправлено PavelR , 28-Май-08 06:43

>[оверквотинг удален]
>>
>>Это повысит безопасность локалки..
>>
>>
>>Рекомендую обратиться к rc.firewall как к первоисточнику.
>
>Абсолютно с этим согласен.
>Ну что на это можно сказать?!
>Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы
>не включать!
теоретик, блин. я говорю _про безопасность_.
>Ну а так, я и говорю, что привиденные мною првила - это
>минимум.
Рекомендую обратиться к rc.firewall как к первоисточнику, вкурить его до потери сознания и до получения ясного мышления.