Подредактрируйте пожалуйста на предмет запрета IP из подсетей 10.10.0.0/24{12,7,3,17,23}, 10.10.3.0/24{4,8,111,32,56,78}
Дело в том, что я сначала разрешаю, а потом всем по-умолчанию запрещено (Ядро по умолчанию "deny from any to any" ).
Так вот, если добавить такое правило, например:
normalip="10.10.3.0/24{4,8,111,32,56,78},10.10.0.0/24{12,7,3,17,23},10.10.5.0/24"
ipfw add pass tcp from ${normalip} to any 25 out
ipfw add pass tcp from any 25 to ${normalip} outто оно работать не будет. В лучшем случае только для 10.10.3.0/24{4,8,111,32,56,78}.
Что неправильно?
Мой файерволл:
ipfw -q -f flush
#-----------PIPE AND QUEUE----------------------------------------------------
excelentip="10.10.1.0/24"
goodip="10.10.2.0/24"
normalip="10.10.3.0/24{4,8,111,32,56,78},10.10.0.0/24{12,7,3,17,23},10.10.5.0/24"
ipfw pipe 1 config bw 1Mbit/s queue 80
ipfw queue 1 config pipe 1 weight 12 queue 80 mask dst-ip 0xffffffff #160Kbit/s
ipfw queue 11 config pipe 1 weight 12 queue 80 mask src-ip 0xffffffff #160Kbit/s
ipfw queue 2 config pipe 1 weight 20 queue 80 mask dst-ip 0xffffffff #256Kbit/s
ipfw queue 21 config pipe 1 weight 20 queue 80 mask src-ip 0xffffffff #256Kbit/s
ipfw queue 3 config pipe 1 weight 38 queue 80 #512Kbit/s
ipfw queue 31 config pipe 1 weight 38 queue 80 #512Kbit/s
ipfw add queue 1 ip from any to ${normalip} in via em1
ipfw add queue 11 ip from ${normalip} to any out via em1
ipfw add queue 2 ip from any to ${goodip} in via em1
ipfw add queue 21 ip from ${goodip} to any out via em1
ipfw add queue 3 ip from any to ${excelentip} in via em1
ipfw add queue 31 ip from ${excelentip} to any out via em1
#-----------MAIN SETUP-------------------------------------------------------
ipfw add allow udp from 0.0.0.0 2054 to 0.0.0.0
# ICMP
ipfw add pass ICMP from any to any
# SMTP
ipfw add pass tcp from any to any 25 out
ipfw add pass tcp from any 25 to any out
# POP
ipfw add pass udp from any to any 110
ipfw add pass udp from any 110 to any
# HTTPS
ipfw add pass tcp from any to any 443 out
ipfw add pass tcp from any 443 to any out
# DNS
ipfw add pass tcp from any to 10.10.1.2 53 setup
ipfw add pass udp from any to any 53
ipfw add pass udp from any 53 to any
# FTP
ipfw add pass tcp from any 21 to any
ipfw add pass tcp from any to any 21
ipfw add pass tcp from any 20 to any
ipfw add pass tcp from any to any 20
# SSH
ipfw add pass tcp from 10.10.1.10 22 to any
ipfw add pass tcp from any to 10.10.1.10 22
# MAIN
ipfw add pass all from any to any via lo0
ipfw add pass tcp from any 80,137-139,443,453,791,901,953,1025-65535 to any
ipfw add pass tcp from any to any 80,137-139,443,453,791,901,953,1025-65535
Еще надо разрешить работу самба и широковещательный, какие порты нужно указать?