форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPFW - группировка адресов не идет больше 15"
Сообщение от Valdemar (??) on 06-Июл-05, 11:27  (MSK)
Приветствую, коллеги! Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3, IPFW2. Есть там функция группировки адресов для компактности. Так вот, пишу в строчку goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}" более чем 15 сетей - система плюется. Пишу вторым списком дополнительные сети goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать, типа ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1} тоже ругается и плюется. Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще глухо на этот счет!! Влад
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFW - группировка адресов не идет больше 15"
Сообщение от newser (ok) on 06-Июл-05, 12:07  (MSK)
>Приветствую, коллеги! >Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3, >IPFW2. >Есть там функция группировки адресов для компактности. Так вот, пишу в строчку > >goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}" >более чем 15 сетей - система плюется. >Пишу вторым списком дополнительные сети >goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать, >типа >ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1} >тоже ругается и плюется. >Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще >глухо на этот счет!! > >Влад А два и более правила использовать не судьба?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Valdemar (??) on 06-Июл-05, 12:26  (MSK)
	>А два и более правила использовать не судьба? Не смешно. КОгда правил набирается тысячами и когда изменения приходится делать сразу в 10 местах одновременно, где-то прошляпил и система валится - вот тогда и начинаешь вспоминать такой дельный совет по поводу двух и более правил. Если мне нужно воткнуть более 15 сетей, то это уже о многом говорит, как я полагаю. А сеть - это не банальный /24. Понимаешь?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Chris (??) on 06-Июл-05, 17:57  (MSK)
	У меня в фаере IPFW чуть более 3000 правил, и нормально, быстро работает, главное знать как настроить 6-)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Valdemar (??) on 06-Июл-05, 19:19  (MSK)
	>У меня в фаере IPFW чуть более 3000 правил, и нормально, быстро >работает, главное знать как настроить 6-) Да дело то не в скорострельности... А в том, что компоновать правила надо. Систематизировать. В общем - не о том говорим. Вопрос был - можно или нельзя вписать больше 15 сетей в группировку?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Moralez (ok) on 07-Июл-05, 05:04  (MSK)
	нельзя, нельзя. Написано же в документации. Если надо автоматизировать, то вообще делай по одному адресу на правило. И net.inet.ip.fw.autoinc_step поменьше.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "IPFW - группировка адресов не идет больше 15"
Сообщение от Pahanivo (??) on 07-Июл-05, 08:19  (MSK)
>Приветствую, коллеги! >Уже который день бьюсь, но не могу найти. Короче - FreeBsd 5.3, >IPFW2. >Есть там функция группировки адресов для компактности. Так вот, пишу в строчку > >goodguys="{10.1.2.0/24,10.2.3.0/24,10.11.12.0/24 ......}" >более чем 15 сетей - система плюется. >Пишу вторым списком дополнительные сети >goodguys1="{11.12.15.0/24,14.15.12.0/22}" - так не могу потом оба списка в одном правиле использовать, >типа >ipfw -f add 994 pipe 5 ip from any to ${goodguys},${goodguys1} >тоже ругается и плюется. >Кто-нить баловался с таким? Синтаксис не подскажете? А то в манах вообще >глухо на этот счет!! > >Влад Элементарно .... ------------------------- #! /bin/sh badgays=' 1.1.1.1 2.2.2.2 3.3.3.3' for loop in $badgays do echo ipfw add ip deny $loop .... done ------------------------ Я думаю буде работать быстрей группировки, вполне согласен с предыдущими мнениями для отдельного правила на сеть. Ктомуже вывод активных правил смотреть приятней
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Valdemar (??) on 07-Июл-05, 10:20  (MSK)
	Понятно. Спасибо! Жаль, придется н есколько групп писать.. Теперь смотрите, в чем заморочка - есть постоянно меняющийся список сетей. И есть правила для каждого пользователя. Набирается достаточно много. Так вот, при наборе в несколько сот правил если в списке сетей меняется сеть или добавляется новая, то приходится ее переписывать в сотнях правил одновременно, понимаете? Вот почему требуется группировка. Ну, нет так нет, буду группировать по 15 сетей - и то легче будет... Спасибо всем за помощь!!! Влад
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "IPFW - группировка адресов не идет больше 15"
	Сообщение от newser (ok) on 07-Июл-05, 10:37  (MSK)
	>Понятно. Спасибо! >Жаль, придется н есколько групп писать.. >Теперь смотрите, в чем заморочка - есть постоянно меняющийся список сетей. И >есть правила для каждого пользователя. Набирается достаточно много. Так вот, при >наборе в несколько сот правил если в списке сетей меняется сеть >или добавляется новая, то приходится ее переписывать в сотнях правил одновременно, >понимаете? Вот почему требуется группировка. > >Ну, нет так нет, буду группировать по 15 сетей - и то >легче будет... > >Спасибо всем за помощь!!! > >Влад Можно попробовать свести задачу к написанию скрипта на sh/perl, который будет генерировать все необходимое. Тогда изменения можно вносить только в одно определенное место (например, сделать какой-нибудь конфиг script.conf, только нужно немного поразмыслить над его структурой), потом перегенерировать правила и все.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Moralez (ok) on 07-Июл-05, 10:57  (MSK)
	проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для таких извращений и придуманы....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "IPFW - группировка адресов не идет больше 15"
	Сообщение от newser (ok) on 07-Июл-05, 10:59  (MSK)
	>проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для >таких извращений и придуманы.... Надо будет глянуть, лично я его еще не курил... :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "IPFW - группировка адресов не идет больше 15"
	Сообщение от Valdemar (??) on 07-Июл-05, 11:42  (MSK)
	>проще пятую ветку поставить и перейти на pf. тамошние таблицы именно для >таких извращений и придуманы.... Ну у меня как раз пятая и стоит - 5.3 А вот с pf я не работал - это че такое?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.