если кому не сложно дайте коментарий каждому правилу,
исправте ошибки если таковые есть
только начал работать с wipfw
надо фильтровать 2 порта 3358 и 2106
дать доступ трём IP к порту 33333
дать доступ одному IP к порту 9905
спасибо
-f flush
add 100 pass all from any to any via lo*
add 110 deny log all from any to 127.0.0.0/8 in
add 120 deny log all from 127.0.0.0/8 to any in
add 130 allow icmp from any to any keep-state
add 200 allow all from me to any keep-state
add 201 allow all from 127.0.0.1 to any keep-state
add 310 allow tcp from 217.117.64.235 to me 33333 keep-state
add 310 allow tcp from 217.117.64.234 to me 33333 keep-state
add 310 allow tcp from 109.87.189.163 to me 33333 keep-state
add 65000 allow tcp from %ip% to me 3358 setup limit src-addr 5 in
add 2 allow tcp from any to me 2106 setup limit src-addr 5 in
add 4 allow tcp from any to any 3358 out
add 5 allow tcp from any to any 2106 out
add 350 allow tcp from 127.0.0.1 to me 9905 keep-state
add 3 allow tcp from 194.247.12.31 to me 9905 in
add 400 deny all from any to any
только что попробовал подключиться на порт 33333 с левого IP подключение удалось :(
я то в правилах сделал чтоб только 3 IP имели доступ к портучто не так то сделал?
> add 400 deny all from any to any
ставь опцию log в правилах и смотри где пропускает
> ставь опцию log в правилах и смотри где пропускаеткак он включается?
что-то не получается у меня----
понял включил лог сейчас буду смотреть) растет правда за минуту по метру
если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via (о чем в ридми написано), и первое правило пропустит весь трафик
> если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via
> (о чем в ридми написано), и первое правило пропустит весь трафикесть функция limit src-addr
она определяет максимальное кол-во подключений с одного IP и просто отсекает все что выше указаного лимита.
вот пример правила: allow tcp from any to me 2106 limit src-addr 20
где 2106 порт , а limit src-addr 20 это ограничение на количество соединений к нему с одного IP.
Так вот фаер просто отсекает все что выше 20 конектов ,а те что до 20 держит, мне нужно чтобы если случилось превышение указанного порога в конфиге, то данный ИП который превысил ставился автобан по ИП. Тоесть создавал автоматически динамическое правило типа add deny tcp from ЗАБАНЕНЫЙ_ИП to me ПОРТ_ПРАВИЛАвозможно такое?
> возможно такое?нет