forum.opennet.ru - "Хитрый вопрос по правилам IPFW" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Хитрый вопрос по правилам IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Хитрый вопрос по правилам IPFW"
Сообщение от ForceMan (ok) on 20-Апр-04, 11:16 (MSK)
А нельзя в правиле применять операции над множеством: исключение, добавление, объединение? К примеру deny all from ${ip-some}\127.0.0.1 to any - (т.е. исключая 127.0.0.1)? Или еще такой вопрос: Что будут делать записи след. вида, идущие друг за другом: add 1 deny all from any to any add 2 allow 192.168.0.1 to any или add 1 allow 192.168.0.1 to any add 2 deny all from any to any Очень нужна ВАША ПОМОЩЬ !!!!!!!!!!!!!!!!!!!!!!!!!!!!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Хитрый вопрос по правилам IPFW, A Clockwork Orange, 11:30 , 20-Апр-04, (1)
Хитрый вопрос по правилам IPFW, AMDmi3, 11:44 , 20-Апр-04, (2)
- Хитрый вопрос по правилам IPFW, Sergey_A, 11:13 , 21-Апр-04, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Хитрый вопрос по правилам IPFW"

Сообщение от A Clockwork Orange on 20-Апр-04, 11:30  (MSK)

Смотри на ipfw2 там не все но что то можно сделать

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Хитрый вопрос по правилам IPFW"

Сообщение от AMDmi3 on 20-Апр-04, 11:44  (MSK)

>А нельзя в правиле применять операции над множеством: исключение, добавление, объединение? К
>примеру
>  deny all from ${ip-some}\127.0.0.1 to any - (т.е. исключая 127.0.0.1)?
У меня не получилось. Связка or'ом нескольних диапазонов возможна:
deny ip from ( 1.2.3.4 or not 1.2.3.0/24 ) to any
но and тут написать нельзя..
>Или еще такой вопрос: Что будут делать записи след. вида, идущие друг
>за другом:
> add 1 deny all from any to any
> add 2 allow 192.168.0.1 to any
Во-первых, второе правило ошибочно, т.к. там не указан протокол и слово from; во-вторых, во втором правиле нет смысла, т.к. все пакеты будут запрещаться по первому правилу, которое идет раньше
>или
> add 1 allow 192.168.0.1 to any
> add 2 deny all from any to any
Если так:
add 1 allow all from 192.168.0.1 to any
add 2 deny all from any to any
то будут пропускаться только пакеты от 192.168.0.1, все остальное запрещено.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Хитрый вопрос по правилам IPFW"

Сообщение от Sergey_A (ok) on 21-Апр-04, 11:13  (MSK)

>Если так:
>add 1 allow all from 192.168.0.1 to any
>add 2 deny all from any to any
>
> то будут пропускаться только пакеты от 192.168.0.1, все остальное
> запрещено.
Да, НО не будут пропускаться обратные пакеты, т.е. будет работать только UDP и то только в одну сторону. А вот TCP - фиг, ибо обратные пакетики не пройдут. Что бы работало и в обратную сторону, то используем динимические правила, т.е.
add 1 allow all from 192.168.0.1 to any keep-state
add 2 deny all from any to any
Тогда при прохождении пакета удовлетворяющего первому правилу - создастся динамическое правило (его время жизни ограничено) благодаря которому будут проходить обратные пакетики.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Хитрый вопрос по правилам IPFW"
Сообщение от A Clockwork Orange on 20-Апр-04, 11:30 (MSK)
Смотри на ipfw2 там не все но что то можно сделать
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Хитрый вопрос по правилам IPFW"
Сообщение от AMDmi3 on 20-Апр-04, 11:44 (MSK)
>А нельзя в правиле применять операции над множеством: исключение, добавление, объединение? К >примеру > deny all from ${ip-some}\127.0.0.1 to any - (т.е. исключая 127.0.0.1)? У меня не получилось. Связка or'ом нескольних диапазонов возможна: deny ip from ( 1.2.3.4 or not 1.2.3.0/24 ) to any но and тут написать нельзя.. >Или еще такой вопрос: Что будут делать записи след. вида, идущие друг >за другом: > add 1 deny all from any to any > add 2 allow 192.168.0.1 to any Во-первых, второе правило ошибочно, т.к. там не указан протокол и слово from; во-вторых, во втором правиле нет смысла, т.к. все пакеты будут запрещаться по первому правилу, которое идет раньше >или > add 1 allow 192.168.0.1 to any > add 2 deny all from any to any Если так: add 1 allow all from 192.168.0.1 to any add 2 deny all from any to any то будут пропускаться только пакеты от 192.168.0.1, все остальное запрещено.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Хитрый вопрос по правилам IPFW"
	Сообщение от Sergey_A (ok) on 21-Апр-04, 11:13 (MSK)
	>Если так: >add 1 allow all from 192.168.0.1 to any >add 2 deny all from any to any > > то будут пропускаться только пакеты от 192.168.0.1, все остальное > запрещено. Да, НО не будут пропускаться обратные пакеты, т.е. будет работать только UDP и то только в одну сторону. А вот TCP - фиг, ибо обратные пакетики не пройдут. Что бы работало и в обратную сторону, то используем динимические правила, т.е. add 1 allow all from 192.168.0.1 to any keep-state add 2 deny all from any to any Тогда при прохождении пакета удовлетворяющего первому правилу - создастся динамическое правило (его время жизни ограничено) благодаря которому будут проходить обратные пакетики.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх