форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Правило в ipfw для определённого iif"
Сообщение от Bopros on 22-Июн-03, 01:05  (MSK)
в FREEBSD 4.7 имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в файрволе прописать правила чтобы пакеты именно только с ng0 кидались на lnc1, а не со всех сейчас у меня вот такое правило /sbin/ipfw add divert natd all from any to any via lnc1 но оно кидает пакеты со всех ифейсов, а вот этого не надо :( P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать всё одним правилом?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Правило в ipfw для определённого iif"
Сообщение от A Clockwork Orange on 22-Июн-03, 07:08  (MSK)
>в FREEBSD 4.7 >имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в >файрволе прописать правила чтобы пакеты именно только с ng0 кидались на >lnc1, а не со всех > >сейчас у меня вот такое правило >/sbin/ipfw add divert natd all from any to any via lnc1 >но оно кидает пакеты со всех ифейсов, а вот этого не надо >:( > >P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать >всё одним правилом? /sbin/ipfw add divert natd all from $inwr to any out via lnc1 /sbin/ipfw add divert natd all from any to $oip in via lnc1 ,где inwr - сеть за ng0      $oip - адрес lnc1 ngX пробовал? и возвращаясь к вопросам о разныз гейтах для разных адресов ipfw fwd ....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Правило в ipfw для определённого iif"
	Сообщение от Bopros on 22-Июн-03, 12:23  (MSK)
	>>в FREEBSD 4.7 >>имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в >>файрволе прописать правила чтобы пакеты именно только с ng0 кидались на >>lnc1, а не со всех >> >>сейчас у меня вот такое правило >>/sbin/ipfw add divert natd all from any to any via lnc1 >>но оно кидает пакеты со всех ифейсов, а вот этого не надо >>:( >> >>P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать >>всё одним правилом? > >/sbin/ipfw add divert natd all from $inwr to any out via lnc1 > >/sbin/ipfw add divert natd all from any to $oip in via lnc1 > > >,где inwr - сеть за ng0 >     $oip - адрес lnc1 > блин фигня эта проверка по ипам, если прописать как ты говоришь, то если чел у себя на сетевухи поставит ип сети ng0 и в шлюзе ип сервера, то он спокойно будет проходить через ифейс lnc0, а мне так не надо, т.е. надо правило именно для ифейса а не проверку по ипу!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Правило в ipfw для определённого iif"
	Сообщение от A Clockwork Orange on 22-Июн-03, 13:49  (MSK)
	>>>в FREEBSD 4.7 >>>имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в >>>файрволе прописать правила чтобы пакеты именно только с ng0 кидались на >>>lnc1, а не со всех >>> >>>сейчас у меня вот такое правило >>>/sbin/ipfw add divert natd all from any to any via lnc1 >>>но оно кидает пакеты со всех ифейсов, а вот этого не надо >>>:( >>> >>>P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать >>>всё одним правилом? >> >>/sbin/ipfw add divert natd all from $inwr to any out via lnc1 >> >>/sbin/ipfw add divert natd all from any to $oip in via lnc1 >> >> >>,где inwr - сеть за ng0 >>     $oip - адрес lnc1 >> > >блин фигня эта проверка по ипам, если прописать как ты говоришь, то >если чел у себя на сетевухи поставит ип сети ng0 и >в шлюзе ип сервера, то он спокойно будет проходить через ифейс >lnc0, а мне так не надо, т.е. надо правило именно для >ифейса а не проверку по ипу! Ничего не будет так работать, ты сам прикинь. Опорная сеть , а значит адрес интерфейса роутера со стороны клиента 192.168.0.0 Тунель 10.0.0.0., ng именно из этой сети. ну и пусть клиент выставит на интерфейсе адрес из сети тунеля. И что получится??? Адрес итерфейса роутера и интерфейса клиента из разных сетей, как ты думаешь это будет работать?! Поробуй что нибудь из этого ${ipfw} add allow log all from ${net_ng} to any recv ng0 out xmit ${oif}
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Правило в ipfw для определённого iif"
	Сообщение от Bopros on 22-Июн-03, 16:23  (MSK)
	>>>>в FREEBSD 4.7 >>>>имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в >>>>файрволе прописать правила чтобы пакеты именно только с ng0 кидались на >>>>lnc1, а не со всех >>>> >>>>сейчас у меня вот такое правило >>>>/sbin/ipfw add divert natd all from any to any via lnc1 >>>>но оно кидает пакеты со всех ифейсов, а вот этого не надо >>>>:( >>>> >>>>P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать >>>>всё одним правилом? >>> >>>/sbin/ipfw add divert natd all from $inwr to any out via lnc1 >>> >>>/sbin/ipfw add divert natd all from any to $oip in via lnc1 >>> >>> >>>,где inwr - сеть за ng0 >>>     $oip - адрес lnc1 >>> >> >>блин фигня эта проверка по ипам, если прописать как ты говоришь, то >>если чел у себя на сетевухи поставит ип сети ng0 и >>в шлюзе ип сервера, то он спокойно будет проходить через ифейс >>lnc0, а мне так не надо, т.е. надо правило именно для >>ифейса а не проверку по ипу! > >Ничего не будет так работать, ты сам прикинь. >Опорная сеть , а значит адрес интерфейса роутера со стороны клиента 192.168.0.0 > >Тунель 10.0.0.0., ng именно из этой сети. > >ну и пусть клиент выставит на интерфейсе адрес из сети тунеля. >И что получится??? Адрес итерфейса роутера и интерфейса клиента из разных сетей, >как ты думаешь это будет работать?! > >Поробуй что нибудь из этого >${ipfw} add allow log all from ${net_ng} to any recv ng0 out xmit ${oif} если делать вот это ${ipfw} add allow log all from all to any recv ng0 out xmit lnc1 то вообще не пускает(пробовал с divert по всякому) да вот это всё работает /sbin/ipfw add divert natd all from $inwr to any out via lnc1 /sbin/ipfw add divert natd all from any to $oip in via lnc1 и не помогает смена ипа и шлюз не установишь, потому что они в разных подсетях, но вот всё таки можно как-нибудь проверять ифейс ng0??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Правило в ipfw для определённого iif"
	Сообщение от A Clockwork Orange on 22-Июн-03, 17:47  (MSK)
	>>>>>в FREEBSD 4.7 >>>>>имеется 2 ифейса, lnc1 смотрит в инет, ng0 в локалку, как в >>>>>файрволе прописать правила чтобы пакеты именно только с ng0 кидались на >>>>>lnc1, а не со всех >>>>> >>>>>сейчас у меня вот такое правило >>>>>/sbin/ipfw add divert natd all from any to any via lnc1 >>>>>но оно кидает пакеты со всех ифейсов, а вот этого не надо >>>>>:( >>>>> >>>>>P.S. а ифейсов много ng0, ng1, ng100, можно как нибудь будет прописать >>>>>всё одним правилом? >>>> >>>>/sbin/ipfw add divert natd all from $inwr to any out via lnc1 >>>> >>>>/sbin/ipfw add divert natd all from any to $oip in via lnc1 >>>> >>>> >>>>,где inwr - сеть за ng0 >>>>     $oip - адрес lnc1 >>>> >>> >>>блин фигня эта проверка по ипам, если прописать как ты говоришь, то >>>если чел у себя на сетевухи поставит ип сети ng0 и >>>в шлюзе ип сервера, то он спокойно будет проходить через ифейс >>>lnc0, а мне так не надо, т.е. надо правило именно для >>>ифейса а не проверку по ипу! >> >>Ничего не будет так работать, ты сам прикинь. >>Опорная сеть , а значит адрес интерфейса роутера со стороны клиента 192.168.0.0 >> >>Тунель 10.0.0.0., ng именно из этой сети. >> >>ну и пусть клиент выставит на интерфейсе адрес из сети тунеля. >>И что получится??? Адрес итерфейса роутера и интерфейса клиента из разных сетей, >>как ты думаешь это будет работать?! >> >>Поробуй что нибудь из этого >>${ipfw} add allow log all from ${net_ng} to any recv ng0 out xmit ${oif} >если делать вот это >${ipfw} add allow log all from all to any recv ng0 out >xmit lnc1 >то вообще не пускает(пробовал с divert по всякому) >да вот это всё работает >/sbin/ipfw add divert natd all from $inwr to any out via lnc1 > >/sbin/ipfw add divert natd all from any to $oip in via lnc1 > >и не помогает смена ипа и шлюз не установишь, потому что они >в разных подсетях, но вот всё таки можно как-нибудь проверять ифейс >ng0?? А что тебе вообще то нужно не пойму, что ты пытаешься в итоге сделать* Лучше скажи ты как нибудь статистику получешь кто сколько пробыл сколько скачал?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Правило в ipfw для определённого iif"
	Сообщение от Bopros on 22-Июн-03, 18:06  (MSK)
	>А что тебе вообще то нужно не пойму, что ты пытаешься в >итоге сделать* >Лучше скажи ты как нибудь статистику получешь кто сколько пробыл сколько скачал? да ладно всё ок работает, сенкс большое, а статистику пока ещё не сделал, но вот думаю есть http://ipa-system.sourceforge.net/ которая на сколько я понял по логам файрвола делает статистику, пока не ставил. Я вот думаю надо бы биллинг ставить, а не просто статистику. Не знаете случаем у какого побольше возможностей и желательно бесплатный. Ладно пойду такую тему создам может толк будет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.