URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4942
[ Назад ]

Исходное сообщение
"WIPFW прошу помощи"
Отправлено dorocki , 27-Сен-11 20:20

если кому не сложно дайте коментарий каждому правилу,
исправте ошибки если таковые есть
только начал работать с wipfw
надо фильтровать 2 порта 3358 и 2106
дать доступ трём IP к порту 33333
дать доступ одному IP к порту 9905
спасибо

-f flush

add 100 pass all from any to any via lo*
add 110 deny log all from any to 127.0.0.0/8 in
add 120 deny log all from 127.0.0.0/8 to any in
add 130 allow icmp from any to any keep-state
add 200 allow all from me to any keep-state
add 201 allow all from 127.0.0.1 to any keep-state
add 310 allow tcp from 217.117.64.235 to me 33333 keep-state
add 310 allow tcp from 217.117.64.234 to me 33333 keep-state
add 310 allow tcp from 109.87.189.163 to me 33333 keep-state
add 65000 allow tcp from %ip% to me 3358 setup limit src-addr 5 in
add 2 allow tcp from any to me 2106 setup limit src-addr 5 in
add 4 allow tcp from any to any 3358 out
add 5 allow tcp from any to any 2106 out
add 350 allow tcp from 127.0.0.1 to me 9905 keep-state
add 3 allow tcp from 194.247.12.31 to me 9905 in
add 400 deny all from any to any

Содержание

WIPFW прошу помощи,dorocki, 22:16 , 27-Сен-11
- WIPFW прошу помощи,c00ker, 00:59 , 28-Сен-11
  - WIPFW прошу помощи,dorocki, 02:15 , 28-Сен-11
    - WIPFW прошу помощи,c00ker, 02:37 , 28-Сен-11
      - WIPFW прошу помощи,dorocki, 04:07 , 28-Сен-11
        
        WIPFW прошу помощи,Pahanivo, 12:53 , 28-Сен-11

Сообщения в этом обсуждении

"WIPFW прошу помощи"
Отправлено dorocki , 27-Сен-11 22:16

только что попробовал подключиться на порт 33333 с левого IP подключение удалось :(
я то в правилах сделал чтоб только 3 IP имели доступ к порту
что не так то сделал?
> add 400 deny all from any to any

"WIPFW прошу помощи"
Отправлено c00ker , 28-Сен-11 00:59

ставь опцию log в правилах и смотри где пропускает

"WIPFW прошу помощи"
Отправлено dorocki , 28-Сен-11 02:15

> ставь опцию log в правилах и смотри где пропускает
как он включается?
что-то не получается у меня
----
понял включил лог сейчас буду смотреть) растет правда за минуту по метру

"WIPFW прошу помощи"
Отправлено c00ker , 28-Сен-11 02:37

если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via (о чем в ридми написано), и первое правило пропустит весь трафик

"WIPFW прошу помощи"
Отправлено dorocki , 28-Сен-11 04:07

> если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via
> (о чем в ридми написано), и первое правило пропустит весь трафик
есть функция limit src-addr
она определяет максимальное кол-во подключений с одного IP и просто отсекает все что выше указаного лимита.
вот пример правила: allow tcp from any to me 2106 limit src-addr 20
где 2106 порт , а limit src-addr 20 это ограничение на количество соединений к нему с одного IP.
Так вот фаер просто отсекает все что выше 20 конектов ,а те что до 20 держит, мне нужно чтобы если случилось превышение указанного порога в конфиге, то данный ИП который превысил ставился автобан по ИП. Тоесть создавал автоматически динамическое правило типа add deny tcp from ЗАБАНЕНЫЙ_ИП to me ПОРТ_ПРАВИЛА
возможно такое?

"WIPFW прошу помощи"
Отправлено Pahanivo , 28-Сен-11 12:53

> возможно такое?
нет