forum.opennet.ru - "Нужен совет по ipfw" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Нужен совет по ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Нужен совет по ipfw"
Сообщение от yard on 24-Сен-02, 16:42 (MSK)
Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети) в ту же локалку при помощи ipfw. Если я напишу: ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно или можно это сделать как то по другому? Зараннее благодарен
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Нужен совет по ipfw, Elena, 16:46 , 24-Сен-02, (1)
- RE: Нужен совет по ipfw, yard, 16:51 , 24-Сен-02, (2)
  - RE: Нужен совет по ipfw, Elena, 17:22 , 24-Сен-02, (3)
    - RE: Нужен совет по ipfw, yard, 17:40 , 24-Сен-02, (4)
      - RE: Нужен совет по ipfw, AD, 21:29 , 24-Сен-02, (5)
        
        RE: Нужен совет по ipfw, Elena, 08:28 , 25-Сен-02, (6)
        
        RE: Нужен совет по ipfw, yard, 08:51 , 25-Сен-02, (7)
        
        RE: Нужен совет по ipfw, Elena, 09:20 , 25-Сен-02, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Нужен совет по ipfw"

Сообщение от Elena on 24-Сен-02, 16:46  (MSK)

>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети)
>в ту же локалку при помощи ipfw. Если я напишу:
>ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно
>или можно это сделать как то по другому?
>
>Зараннее благодарен

А вот так
ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Нужен совет по ipfw"

Сообщение от yard on 24-Сен-02, 16:51  (MSK)

>>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети)
>>в ту же локалку при помощи ipfw. Если я напишу:
>>ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно
>>или можно это сделать как то по другому?
>>
>>Зараннее благодарен
>
>
>А вот так
>ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ...
И что это получится? Помоему бесполезное правило, или нет? Выходит запретить из 192.168.х.х класса В в 192.168.х.х того же класса, а смысл?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Нужен совет по ipfw"

Сообщение от Elena on 24-Сен-02, 17:22  (MSK)

Вообще не очень понятна топология.
Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить ходить с одной машины на другую в пределах сегмента? если так, то фря вообще не причем.
В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к фре, будь то либо разные интерфейсы либо один интефейс с алиасом.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Нужен совет по ipfw"

Сообщение от yard on 24-Сен-02, 17:40  (MSK)

>Вообще не очень понятна топология.
>Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить
>ходить с одной машины на другую в пределах сегмента? если так,
>то фря вообще не причем.
>В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к
>фре, будь то либо разные интерфейсы либо один интефейс с алиасом.
>
Топологии как таковой нет, все просто мне только требуется что бы определенные ip адреса (192.168.0.208/16) никого кроме себя не видели,
и про фрю я не говорил что она при чем то здесь. Неужели никто не подскажет коректно ли правило в данном случае.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Нужен совет по ipfw"

Сообщение от AD on 24-Сен-02, 21:29  (MSK)

>>Вообще не очень понятна топология.
>>Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить
>>ходить с одной машины на другую в пределах сегмента? если так,
>>то фря вообще не причем.
>>В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к
>>фре, будь то либо разные интерфейсы либо один интефейс с алиасом.
>>
>Топологии как таковой нет, все просто мне только требуется что бы определенные
>ip адреса (192.168.0.208/16) никого кроме себя не видели,
>и про фрю я не говорил что она при чем то здесь.
>Неужели никто не подскажет коректно ли правило в данном случае.

пакетикам, которые по сетки бегают, твоя машина с ипфв по боку, они и без нее дойдут, если хочешь разделить то надо два интерфейса хотя бы, .

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Нужен совет по ipfw"

Сообщение от Elena on 25-Сен-02, 08:28  (MSK)

КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД ФРЕЙ?????!!!!!!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Нужен совет по ipfw"

Сообщение от yard on 25-Сен-02, 08:51  (MSK)

>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ
>НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД
>ФРЕЙ?????!!!!!!!!
Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса 192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е. енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом ipfw запретить этим модемным адресам каким либо образом шариться по сетке, естественно кроме как на фрю где модемы (для этого нужно конечно еще одно правило которое бы разрешало это, но это не проблема; проблема с запретом)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Нужен совет по ipfw"

Сообщение от Elena on 25-Сен-02, 09:20  (MSK)

>>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ
>>НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД
>>ФРЕЙ?????!!!!!!!!
>Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса
>192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е.
>енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом
>ipfw запретить этим модемным адресам каким либо образом шариться по сетке,
>естественно кроме как на фрю где модемы (для этого нужно конечно
>еще одно правило которое бы разрешало это, но это не проблема;
>проблема с запрет
Один черт не точно.
Эти адреса назначаются удаленным клиентам или самой фре (если самой фре, то зачем так много и надо ли вообще?).
То правило, что написал изначально можно, но тогда нужно писать и в другую сторону, из сетки на фрю, если надо.
А чем тебе не понравилось предложенное мной правило вместо двух, не понимаю.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Нужен совет по ipfw"
Сообщение от Elena on 24-Сен-02, 16:46 (MSK)
>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети) >в ту же локалку при помощи ipfw. Если я напишу: >ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно >или можно это сделать как то по другому? > >Зараннее благодарен А вот так ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Нужен совет по ipfw"
	Сообщение от yard on 24-Сен-02, 16:51 (MSK)
	>>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети) >>в ту же локалку при помощи ipfw. Если я напишу: >>ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно >>или можно это сделать как то по другому? >> >>Зараннее благодарен > > >А вот так >ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ... И что это получится? Помоему бесполезное правило, или нет? Выходит запретить из 192.168.х.х класса В в 192.168.х.х того же класса, а смысл?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Нужен совет по ipfw"
	Сообщение от Elena on 24-Сен-02, 17:22 (MSK)
	Вообще не очень понятна топология. Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить ходить с одной машины на другую в пределах сегмента? если так, то фря вообще не причем. В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к фре, будь то либо разные интерфейсы либо один интефейс с алиасом.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Нужен совет по ipfw"
	Сообщение от yard on 24-Сен-02, 17:40 (MSK)
	>Вообще не очень понятна топология. >Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить >ходить с одной машины на другую в пределах сегмента? если так, >то фря вообще не причем. >В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к >фре, будь то либо разные интерфейсы либо один интефейс с алиасом. > Топологии как таковой нет, все просто мне только требуется что бы определенные ip адреса (192.168.0.208/16) никого кроме себя не видели, и про фрю я не говорил что она при чем то здесь. Неужели никто не подскажет коректно ли правило в данном случае.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Нужен совет по ipfw"
	Сообщение от AD on 24-Сен-02, 21:29 (MSK)
	>>Вообще не очень понятна топология. >>Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить >>ходить с одной машины на другую в пределах сегмента? если так, >>то фря вообще не причем. >>В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к >>фре, будь то либо разные интерфейсы либо один интефейс с алиасом. >> >Топологии как таковой нет, все просто мне только требуется что бы определенные >ip адреса (192.168.0.208/16) никого кроме себя не видели, >и про фрю я не говорил что она при чем то здесь. >Неужели никто не подскажет коректно ли правило в данном случае. пакетикам, которые по сетки бегают, твоя машина с ипфв по боку, они и без нее дойдут, если хочешь разделить то надо два интерфейса хотя бы, .
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Нужен совет по ipfw"
	Сообщение от Elena on 25-Сен-02, 08:28 (MSK)
	КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД ФРЕЙ?????!!!!!!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Нужен совет по ipfw"
	Сообщение от yard on 25-Сен-02, 08:51 (MSK)
	>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ >НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД >ФРЕЙ?????!!!!!!!! Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса 192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е. енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом ipfw запретить этим модемным адресам каким либо образом шариться по сетке, естественно кроме как на фрю где модемы (для этого нужно конечно еще одно правило которое бы разрешало это, но это не проблема; проблема с запретом)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Нужен совет по ipfw"
	Сообщение от Elena on 25-Сен-02, 09:20 (MSK)
	>>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ >>НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД >>ФРЕЙ?????!!!!!!!! >Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса >192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е. >енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом >ipfw запретить этим модемным адресам каким либо образом шариться по сетке, >естественно кроме как на фрю где модемы (для этого нужно конечно >еще одно правило которое бы разрешало это, но это не проблема; >проблема с запрет Один черт не точно. Эти адреса назначаются удаленным клиентам или самой фре (если самой фре, то зачем так много и надо ли вообще?). То правило, что написал изначально можно, но тогда нужно писать и в другую сторону, из сетки на фрю, если надо. А чем тебе не понравилось предложенное мной правило вместо двух, не понимаю.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх