форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw i paru adresov"
Сообщение от ad on 28-Ноя-03, 20:59  (MSK)
Привет всем подскажите как сделать, что бы через freebsd 4.9 который выполняет роль роутера пустить всего пару адресов, разрешив им все порты, кроме 135-139. На сам роутер должен быть доступ только с одного IP по ssh. Вроде все понятно - но начал делать по примеру: #!/bin/sh $fwcmd -f flush $fwcmd add 100 check-state $fwcmd add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 $fwcmd add 210 reject ip from $LAN1_RANGE to any in via $INET_IFACE $fwcmd add 300 allow ip from any to any via lo $fwcmd add 310 allow tcp from me to any keep-state via $INET_IFACE $fwcmd add 320 allow icmp from any to any $fwcmd add 350 allow ip from me to any $fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via $INET_IFACE $fwcmd add 510 divert natd ip from any to $INET_IP $fwcmd add 600 allow ip from 192.168.1.4 to any $fwcmd add 620 allow ip from any to 192.168.1.4 $fwcmd add 65534 deny ip from any to any и нучего не идет. стоит только изменить $fwcmd add 65534 deny ip from any to any на $fwcmd add 65534 allow ip from any to any И все у всех идет. но мне нужен только один IP "192.168.1.4" Помогите, плз, чего я не допонял.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw i paru adresov"
Сообщение от Andrey on 28-Ноя-03, 21:20  (MSK)
>Привет всем >подскажите как сделать, что бы через freebsd 4.9 который выполняет роль роутера >пустить всего пару адресов, разрешив им все порты, кроме 135-139. >На сам роутер должен быть доступ только с одного IP по ssh. > >Вроде все понятно - но начал делать по примеру: >#!/bin/sh >$fwcmd -f flush >$fwcmd add 100 check-state >$fwcmd add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > > >$fwcmd add 210 reject ip from $LAN1_RANGE to any in via $INET_IFACE > > >$fwcmd add 300 allow ip from any to any via lo >$fwcmd add 310 allow tcp from me to any keep-state via $INET_IFACE > >$fwcmd add 320 allow icmp from any to any >$fwcmd add 350 allow ip from me to any > >$fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via >$INET_IFACE >$fwcmd add 510 divert natd ip from any to $INET_IP > >$fwcmd add 600 allow ip from 192.168.1.4 to any >$fwcmd add 620 allow ip from any to 192.168.1.4 > >$fwcmd add 65534 deny ip from any to any > >и нучего не идет. >стоит только изменить >$fwcmd add 65534 deny ip from any to any >на >$fwcmd add 65534 allow ip from any to any >И все у всех идет. но мне нужен только один IP "192.168.1.4" > >Помогите, плз, чего я не допонял. До этих строк: $fwcmd add 500 divert natd ip from 192.168.1.0/24 to any out via $INET_IFACE $fwcmd add 510 divert natd ip from any to $INET_IP src-ip будет принадлежать 192.168.1.0/24 После них (строк) в заголовке будет уже $INET_IP Так что обыное ${fwcmd} add 520 allow proto ip src-ip $INET_IP ${fwcmd} add 520 allow proto ip dst-ip $INET_IP А разрешать или нет выходить в интеренет в таком случаии надо до divert-а
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.