The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ка заблокировать диапазон IP в IPFW?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Ка заблокировать диапазон IP в IPFW?"  
Сообщение от serg0k (ok) on 05-Дек-08, 16:52 
Сервак Freebsd 7.0 раздает в сетку интернет на 20 компов, всем им нужно задать определенную скорость. Например с 10.1.1.33 по 10.1.1.43 - поставить лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности.
Как сделать так чтобы юзер не мог поменять себе айпиху и юзать свободно канал, что нужно писать в IPFW? Я полагаю нужно заблокировать весь диапазон IP 10.1.1.0/24 и разрешить только те, которые используются? Как это сделать?
Немного информации:

# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:02:2a:e1:09:b1
        inet 81.30.17x.xxx netmask 0xfffffffc broadcast 81.30.17x.xxx #Внешний IP
        media: Ethernet autoselect (10baseT/UTP)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:4d:3d:ef:6c
        inet 10.1.1.6 netmask 0xffffff00 broadcast 10.1.1.255  #Внутренний IP
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

#ee /etc/rc.conf

defaultrouter="81.30.17x.xxx" # Здесь IP провайдера
ifconfig_rl0="inet 81.30.17x.xxx netmask 255.255.255.252" # белый IP сервера
ifconfig_rl1="inet 10.1.1.6 netmask 255.255.255.0"            # внутренний адрес
hostname="router"
sshd_enable="YES"
usbd_enable="NO"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.rc"
natd_enable="YES"

natd_flags="-a 81.30.17x.xxx"
# ee /etc/firewall.rc

ipfw flush
ipfw add pipe 1 all from not 10.1.1.6 to 10.1.1.17 out xmit rl1 #Режет скорость 
ipfw pipe 1 config bw 384Kbit/s  # юзеру при этом качать по сети может без ограничений
ipfw add divert natd ip from 10.1.1.216/29 to not 10.1.1.0/24
ipfw add divert 8668 ip from 10.1.1.0/24 to any out via rl0
ipfw add divert 8668 ip from any to 81.30.17x.xxx in via rl0
ipfw add allow all from any to any






    
 Высказать мнение | Ответить | Правка | Cообщить модератору 

      

         

         

         
         
          Оглавление

         

         

         
         

         

         

         

         

         

         
         
         Сообщения по теме
         
         [Сортировка по времени | RSS]



    1.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от serg0k (ok) on 05-Дек-08, 18:05 

    



Очень нужно! помогите плз. как правильно сделать?





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


    2.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от Square (ok) on 05-Дек-08, 19:32 

    



>лимит скорости 128К. Остальные 10 нужно уже каждому задавать по отдельности. 
>Как сделать так чтобы юзер не мог поменять себе айпиху и юзать 
man ipfw 
там все написано
>Как сделать так чтобы юзер не мог поменять себе айпиху и юзать 
это делается путем подключения пользователя через оборудование поддерживающее привязку mac+ip к порту.
программным путем этого можно достичь если лишить юзера админских прав на его компе. если сетка офисная и вы сисадмин -это естественное и правильное решение. включая отключение возможности загрузки компа через иные носители.





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


    3.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от serg0k (ok) on 09-Дек-08, 11:13 

    



>программным путем этого можно достичь если лишить юзера админских прав на его 
>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>решение. включая отключение возможности загрузки компа через иные носители. 
А как это достичь средствами фаервола? Задача в принципе оч. проста. Забанить весь диапазон IP внутренней сети и в правилах написать только те которые нужно





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


    4.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от Square (ok) on 09-Дек-08, 11:50 

    



>>программным путем этого можно достичь если лишить юзера админских прав на его 
>>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>>решение. включая отключение возможности загрузки компа через иные носители. 
>
>А как это достичь средствами фаервола? 
Вы серьезно думаете что какие либо настройки на файрволе  помешают произвольному компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип?
>Задача в принципе оч. проста. Забанить 
>весь диапазон IP внутренней сети и в правилах написать только те 
>которые нужно 
это сделать легко.
man ipfw





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


    5.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от serg0k (ok) on 09-Дек-08, 12:02 

    



>>>программным путем этого можно достичь если лишить юзера админских прав на его 
>>>компе. если сетка офисная и вы сисадмин -это естественное и правильное 
>>>решение. включая отключение возможности загрузки компа через иные носители. 
>>
>>А как это достичь средствами фаервола? 
>
>Вы серьезно думаете что какие либо настройки на файрволе  помешают произвольному 
>компьютеру в сети постаивить на сетевой интерфейс произвольное значение мак+ип? 
Все что мне нужно сейчас, так это забанить весь свободный диапазон IP адрессов, так как юзера меняют их как только я начинаю ограничивать им скорость через трубу. 
Нужно заблокировать всю внутреннюю сеть, потом добавить только определенные машины. 
Это очень примитивно, но даст кое-какое время на поиск более менее правильного солюшена. 
Каким образом можно будет в дальнейшем ужесточить привязку? Бегать узнавать МАК-и сетевух как-то не оч. удобно так же как и ставить VPN
>
>это сделать легко. 
>man ipfw 
А нельзя ли чуток поконкретней? Я с ФриБСД только несколько месяцев. Маны читал, но если буду перечитывать опять, боюсь займет пол дня.
Внутренняя сеть 10.1.1.0/24





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


    6.  "Ка заблокировать диапазон IP в IPFW?"  

    
Сообщение от Mr_Dee (ok) on 09-Дек-08, 13:55 

    



может:
ipfw add 100 allow all from lan_1 to lan_2
ipfw add 101 allow all from lan_2 to lan_1
ipfw add 200 deny all from lan_1 to any
ipfw add 201 deny all from lan_2 to any
на линуксе куда проще сделать
iptables -A FORWARD -s lan_1 -d lan_2 -j ACCEPT
iptables -A FORWARD -s lan_2 -d lan_1 -j ACCEPT
iptables -A FORWARD -j DROP





    
 Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору 


   

   

   

    
      Архив |  
   Удалить 
   

   		
   

   
   Индекс форумов |
   Темы |
   Пред. тема |
   След. тема
   

   
      

      Оцените тред (1=ужас, 5=супер)?
         [ 
         1 |
         2 |
         3 |
         4 |
         5         
            ] [Рекомендовать для помещения в FAQ]
            

   


























Партнёры:




PostgresPro





Inferno Solutions




Hosting by Hoster.ru




Хостинг:















Закладки на сайте

Проследить за страницей


Created 1996-2024 by Maxim Chirkov

Добавить, Поддержать, Вебмастеру