URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83221
[ Назад ]
Исходное сообщение
"Ка заблокировать диапазон IP в IPFW?"
Отправлено serg0k , 05-Дек-08 16:52 
Сервак Freebsd 7.0 раздает в сетку интернет на 20 компов, всем им нужно задать определенную скорость. Например с 10.1.1.33 по 10.1.1.43 - поставить лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности.
Как сделать так чтобы юзер не мог поменять себе айпиху и юзать свободно канал, что нужно писать в IPFW? Я полагаю нужно заблокировать весь диапазон IP 10.1.1.0/24 и разрешить только те, которые используются? Как это сделать?
Немного информации:

# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:02:2a:e1:09:b1
        inet 81.30.17x.xxx netmask 0xfffffffc broadcast 81.30.17x.xxx #Внешний IP
        media: Ethernet autoselect (10baseT/UTP)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:4d:3d:ef:6c
        inet 10.1.1.6 netmask 0xffffff00 broadcast 10.1.1.255  #Внутренний IP
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

#ee /etc/rc.conf

defaultrouter="81.30.17x.xxx" # Здесь IP провайдера
ifconfig_rl0="inet 81.30.17x.xxx netmask 255.255.255.252" # белый IP сервера
ifconfig_rl1="inet 10.1.1.6 netmask 255.255.255.0"            # внутренний адрес
hostname="router"
sshd_enable="YES"
usbd_enable="NO"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.rc"
natd_enable="YES"

natd_flags="-a 81.30.17x.xxx"
# ee /etc/firewall.rc

ipfw flush
ipfw add pipe 1 all from not 10.1.1.6 to 10.1.1.17 out xmit rl1 #Режет скорость 
ipfw pipe 1 config bw 384Kbit/s  # юзеру при этом качать по сети может без ограничений
ipfw add divert natd ip from 10.1.1.216/29 to not 10.1.1.0/24
ipfw add divert 8668 ip from 10.1.1.0/24 to any out via rl0
ipfw add divert 8668 ip from any to 81.30.17x.xxx in via rl0
ipfw add allow all from any to any

Содержание



Сообщения в этом обсуждении

"Ка заблокировать диапазон IP в IPFW?"

Отправлено serg0k , 05-Дек-08 18:05 



Очень нужно! помогите плз. как правильно сделать?





"Ка заблокировать диапазон IP в IPFW?"

Отправлено Square , 05-Дек-08 19:32 



>лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности. 
>Как сделать так чтобы юзер не мог поменять себе айпиху и юзать 
man ipfw 
там все написано
>Как сделать так чтобы юзер не мог поменять себе айпиху и юзать 
это делается путем подключения пользователя через оборудование поддерживающее привязку mac+ip к порту.
программным путем этого можно достичь если лишить юзера админских прав на его компе. если сетка офисная и вы сисадмин -это естественное и правильное решение. включая отключение возможности загрузки компа через иные носители.





"Ка заблокировать диапазон IP в IPFW?"

Отправлено serg0k , 09-Дек-08 11:13 



>программным путем этого можно достичь если лишить юзера админских прав на его 
>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>решение. включая отключение возможности загрузки компа через иные носители. 
А как это достичь средствами фаервола? Задача в принципе оч. проста. Забанить весь диапазон IP внутренней сети и в правилах написать только те которые нужно





"Ка заблокировать диапазон IP в IPFW?"

Отправлено Square , 09-Дек-08 11:50 



>>программным путем этого можно достичь если лишить юзера админских прав на его 
>>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>>решение. включая отключение возможности загрузки компа через иные носители. 
>
>А как это достичь средствами фаервола? 
Вы серьезно думаете что какие либо настройки на файрволе  помешают произвольному компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип?
>Задача в принципе оч. проста. Забанить 
>весь диапазон IP внутренней сети и в правилах написать только те 
>которые нужно 
это сделать легко.
man ipfw





"Ка заблокировать диапазон IP в IPFW?"

Отправлено serg0k , 09-Дек-08 12:02 



>>>программным путем этого можно достичь если лишить юзера админских прав на его 
>>>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>>>решение. включая отключение возможности загрузки компа через иные носители. 
>>
>>А как это достичь средствами фаервола? 
>
>Вы серьезно думаете что какие либо настройки на файрволе  помешают произвольному 
>компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип? 
Все что мне нужно сейчас, так это забанить весь свободный диапазон IP адрессов, так как юзера меняют их как только я начинаю ограничивать им скорость через трубу. 
Нужно заблокировать всю внутреннюю сеть, потом добавить только определенные машины. 
Это очень примитивно, но даст кое-какое время на поиск более менее правильного солюшена. 
Каким образом можно будет в дальнейшем ужесточить привязку? Бегать узнавать МАК-и сетевух как-то не оч. удобно так же как и ставить VPN
>
>это сделать легко. 
>man ipfw 
А нельзя ли чуток поконкретней? Я с ФриБСД только несколько месяцев. Маны читал, но если буду перечитывать опять, боюсь займет пол дня.
Внутренняя сеть 10.1.1.0/24





"Ка заблокировать диапазон IP в IPFW?"

Отправлено Mr_Dee , 09-Дек-08 13:55 



может:
ipfw add 100 allow all from lan_1 to lan_2
ipfw add 101 allow all from lan_2 to lan_1
ipfw add 200 deny all from lan_1 to any
ipfw add 201 deny all from lan_2 to any
на линуксе куда проще сделать
iptables -A FORWARD -s lan_1 -d lan_2 -j ACCEPT
iptables -A FORWARD -s lan_2 -d lan_1 -j ACCEPT
iptables -A FORWARD -j DROP