форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"RE: Что сделать - прерывание поиска после allow :) (Ipfw)"
Сообщение от Николай on 08-Июн-02, 19:20  (MSK)
сабж такой: есть одноранговая сеть с выходом в инет через natd/ipfw/freebsd, требуется разрешить выход в сеть только машинам с определенными IP адресами пытаюсь сделать это через файрволл, но! ipfw add 10 pass ip from 192.168.1.25 to any out recv rl0 xmit ed0 . . . ipfw add 1000 deny ip from 192.168.1.0/24 to any out recv rl0 xmit ed0 ipfw add 65000 divert natd ip from any to any via ed0 пакет проходит через правило 10 и НЕ ПРОХОДИТ через диверт! потому что так уж написан ipfw. rl0 - внутренний, ed0 - внешний интерфейс. нужно выпускать наружу пакеты только с определенных ip адресов + с самого хоста. кучу дивертов писать нежелательно. Какие идеи? Заранее спасибо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Что сделать - прерывание поиска после allow :) (Ipfw)"
Сообщение от Nightman on 09-Июн-02, 12:06  (MSK)
>сабж такой: есть одноранговая сеть с выходом в инет через natd/ipfw/freebsd, требуется >разрешить выход в сеть только машинам с определенными IP адресами > >пытаюсь сделать это через файрволл, но! > >ipfw add 10 pass ip from 192.168.1.25 to any out recv rl0 >xmit ed0 >. >. >. >ipfw add 1000 deny ip from 192.168.1.0/24 to any out recv rl0 >xmit ed0 > >ipfw add 65000 divert natd ip from any to any via ed0 > > >пакет проходит через правило 10 и НЕ ПРОХОДИТ через диверт! потому что >так уж написан ipfw. > >rl0 - внутренний, ed0 - внешний интерфейс. нужно выпускать наружу пакеты только >с определенных ip адресов + с самого хоста. кучу дивертов писать >нежелательно. Какие идеи? > >Заранее спасибо. Да легче запретить кому надо да и все... Сначала всех пусти...а остальных прикрой
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Что сделать - прерывание поиска после allow :) (Ipfw)"
Сообщение от Евгений on 10-Июн-02, 16:47  (MSK)
Первым правилом ставится divert на внешнем интерфейсе дальше идут allow  на внутреннем конструкцию "xmit ..." - убери, работать не будет на ipfw пенять не надо - надо правила писать по-человечески (см /etc/rc.firewall, к примеру - там и про натовцев есть)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Что сделать - прерывание поиска после allow :) (Ipfw)"
	Сообщение от Garry on 12-Июн-02, 23:22  (MSK)
	Угу, внимательнее следи какое правило за каким идет - это важно! Кстати вот совет - регулируй по подсеткам, а то замучаешься правила писать. Что то типа deny all from 192.168.0.0/28 allow all from 192.168.0.16/28
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.