Добрый день!
У меня такая ситуация:
Есть гейт на FreeBSD 4.10 - два интерфейса, ipfw, natd.
Во внутренней сети поднят игровой сервер, на него сделан проброс трафика через natd - natd -n xl1 -p 8668 -redirect_port udp 192.168.0.200:28960 28960
интерфейсы на гейте: xl0 - локалка (192.168.0.50), xl1 - внешка (x.y.z.22).
Возникла необходимость дать доступ к игровому серверу только клиентам из нескольких внешних подсетей - их 7 штук.
ipfw запускается скриптом:
#!/bin/sh -
#
ipfw -f flush
ipfw add allow ip from any to any via lo0
ipfw pipe 1 config bw 3096Kbit/s
ipfw add divert 8668 ip from 192.168.0.0/24 to any
ipfw add divert 8668 ip from any to x.y.z.22
ipfw add pipe 1 ip from any to 192.168.0.1/24
пробовали сделать что-то вроде
ipfw add deny udp from (not 192.168.0.0/24 or not subnet1 or not subnet2 or not subnet3) to me 28960 перед divert'aми, но такая конструкция не работает. В таком виде ipfw правило просто не берет.
Подскажите, пожалуйста, как грамотно реализовать подобное ограничение доступа?
Ja dumaju proshe by bylo sdelat snachala allow na konkretnyje podseti kotoryje nado pustit, a potom deny vsjo ostalnoje.
>Ja dumaju proshe by bylo sdelat snachala allow na konkretnyje podseti kotoryje
>nado pustit, a potom deny vsjo ostalnoje.Такой вариант тоже рассматривается, но как правильно сформировать правила?
если просто делать allow для каждой нужной подсети, то как потом этот пакет на divert отправлять? Если пакет подходит по allow, то дальнейшие правила не обрабатываются, а значит divert не сработает.
>Такой вариант тоже рассматривается, но как правильно сформировать правила?
>если просто делать allow для каждой нужной подсети, то как потом этот
>пакет на divert отправлять? Если пакет подходит по allow, то дальнейшие
>правила не обрабатываются, а значит divert не сработает.поставить правило allow после divert
тогда будет все нормально