>>В качестве сервера стоит FreeBSD 4.7. В ядре включен ipfw версии 1.
>>Не устраивает в нем то, что нельзя перечислять через запятую интерфейсы
>>или диапазоны ip-адресов. Например, если файрвол настроен по принципу "запрещено все,
>>что не разрешено" и есть n подсетей на разных интерфейсах, между
>>которыми нужно разрешить роутинг, требуется n*n правил, чтобы это описать. Например
>>для трех подсетей:
>>
>>ipfw add allow ip from any to any out recv iface1 xmit
>>iface2
>>ipfw add allow ip from any to any out recv iface2 xmit
>>iface1
>>ipfw add allow ip from any to any out recv iface1 xmit
>>iface3
>>ipfw add allow ip from any to any out recv iface3 xmit
>>iface1
>>ipfw add allow ip from any to any out recv iface2 xmit
>>iface3
>>ipfw add allow ip from any to any out recv iface3 xmit
>>iface2
>>
>>ipfw add allow ip from any to any in recv iface1
>>ipfw add allow ip from any to any in recv iface2
>>ipfw add allow ip from any to any in recv iface3
>>
>>Хотелось бы записать это просто:
>>ipfw add allow ip from any to any out recv iface1,iface2,iface3 xmit
>>iface1,iface2,iface3
>>ipfw add allow ip from any to any in recv iface1,iface2,iface3
>А разве нельзя диапозон адресов использовать в ipfw2 ?
В ipfw2 можно оспользовать блоки 'OR'. Вот примет из маны:
goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
badguys="10.1.2.0/24{8,38,60}"
ipfw add allow ip from ${goodguys} to any
ipfw add deny ip from ${badguys} to any
... normal policies ...
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
27-Май-03, 09:14 (MSK)
