форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw - FreeBSD"
Сообщение от TechNoir (??) on 21-Авг-04, 11:48  (MSK)
Есть две подсети - 192.168.1.x/24 и 212.x.x.x/28 Необходимо сделать так чтобы из подсети 212.x.x.x/28 не было доступа в подсеть 192.168.1.x/24, а подсеть 192.168.1.x/24 свободно ходила в подсеть 212.x.x.x/28. Это можно сделать так: 1. Открыть для подсети 192.168.1.x/24 порты >1024. Однако в этом случае существует опасность что на портах выше 1024 сидят какие-то важные службы и будет доступ к ним. 2. Для подсети 192.168.1.x/24 написать правила с использованием keepstate. Но мне как-то трудно затем разбираться в написанных правилах. Какие еще варианты можно предложить в этой конфигурации. Или по другому - Разрешить только исходящие соединения из подсети 192.168.1.x/24.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw - FreeBSD"
Сообщение от Skif (ok) on 21-Авг-04, 13:30  (MSK)
Поднимается нат, на обоих концах пишеться пишеться примерно следующее ipfw add divert 8668 ip from any to any via interface_xxx ipfw add allow ip from a/24 to b/28 ipfw add allow ip from b/28 to a/24 Если у каждой из сеток свой дефаултроут наприме a -xxx.xxx.xxx.xxx/32, a b - yyy.yyy.yyy.yyy/32 то в просто в таблицу маршрутизации указывается, кому куда и как перенаправлять пакеты и все. Или может я не много не вкурил тему?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw - FreeBSD"
Сообщение от mazaj (ok) on 21-Авг-04, 15:28  (MSK)
>Есть две подсети - 192.168.1.x/24 и 212.x.x.x/28 >Необходимо сделать так чтобы из подсети 212.x.x.x/28 не было доступа в подсеть >192.168.1.x/24, а подсеть 192.168.1.x/24 свободно ходила в подсеть 212.x.x.x/28. > >Это можно сделать так: >1. Открыть для подсети 192.168.1.x/24 порты >1024. Однако в этом случае существует опасность что на портах выше 1024 сидят какие-то важные службы и будет доступ к ним. >2. Для подсети 192.168.1.x/24 написать правила с использованием keepstate. Но мне как-то >трудно затем разбираться в написанных правилах. > >Какие еще варианты можно предложить в этой конфигурации. >Или по другому - Разрешить только исходящие соединения из подсети 192.168.1.x/24. может ipfw add allow tcp from 192.168.1.0/24 to 212.x.x.x/28 setup ipfw add allow tcp from ant to any established ipfw add deny ip from any to any но есть существенных 2 минуса: 1) такому способу подвластен тока tcp  трафик 2) при определенной фрагментации пакета, будет проходить весь трафик!!!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ipfw - FreeBSD"
	Сообщение от TechNoir (??) on 21-Авг-04, 18:22  (MSK)
	>может >ipfw add allow tcp from 192.168.1.0/24 to 212.x.x.x/28 setup >ipfw add allow tcp from ant to any established >ipfw add deny ip from any to any > >но есть существенных 2 минуса: >1) такому способу подвластен тока tcp  трафик >2) при определенной фрагментации пакета, будет проходить весь трафик!!! Хорошо, значит в общем случае лучше использовать keepstate? И про определенную фрагментацию можно поподробнее? Спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ipfw - FreeBSD"
	Сообщение от TechNoir (ok) on 22-Авг-04, 14:58  (MSK)
	Ну... я же жду :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.