The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

IP-masquerade (linux ipfwadm rule example masquerade diald firewall)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: linux, ipfwadm, rule, example, masquerade, diald, firewall,  (найти похожие документы)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Andy Ushakov 2:5030/435 11 Jul 97 23:17:18 Subj : IP-masquerade ________________________________________________________________________________ Hello All! Кто-нибудь кинется _правильным_ аналогом набора правил,задаваемых в развернутом примере в в IP-Masquearade mini HOWTO, но только не для статического, а динамического PPP-адреса и случая, когда link поднимается c помощью diald? Т.е. как запретить просачивание внешних пакетов внутрь сетки, если никак не указать такие: ipfwadm -I -a accept -W ppp0 -S 0.0.0.0/0 -D <static-ppp-addr> ipdwadm -I -a deny -W ppp0 -S 0.0.0.0/0 -D 0.0.0.0/0 И какие строчки надо добавить о sl0, чтобы они дошли до diald? Andy --- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Ivan Schelkunov 2:5030/82.7 13 Jul 97 02:29:28 Subj : Re: Diald, IP-Masquerade и Windows95 ________________________________________________________________________________ Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote: > основной, а IPX не задействован. У другой машины основным стоит IPX, и она с > большей частью других Windows95 общается именно через него, а по TCP/IP лишь с > одной), где TCP/IP к карточке привязан, пытается слать серию UDP пакетов с > порта 137 на 53 порт DNS-сервера. В файле services Windows95 этот порт > называется nbname, в Linux'е - netbios-ns. Эээээ, а вот что у меня: domain 53/tcp nameserver # name-domain server domain 53/udp nameserver > ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns > accept udp 30 udp.dest=udp.netbios-ns > >accept udp 30 udp.source=udp.netbios-ns > > Вот из-за отмеченной строчки diald, похоже, и звонит. А теперь вопрос, где > более правильно это заткнуть? С помощью ipfwadm или здесь, в конфигурационных > файлах diald? Здесь. Если ты заткнешь это через ipfwadm, то скорее всего поимеешь определенный геморрой с обращением к внешнему dns. А от этого ни как не уйти. Если ты вправишь мозги diald, то проблем с обращением не будет, но не будет и постоянной прозвонки. Уловил? > > Andy > -- CU, Ivan --- TIN [UNIX 1.3 BETA-950824-16colors PL0] * Origin: Linux Support (2:5030/82.7@fidonet) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Jim Smelyansky 2:4651/1 12 Jul 97 21:33:50 Subj : Diald, IP-Masquerade и Windows95 ________________________________________________________________________________ Hi, Andy! At 10 Jul 97 21:54:26, Andy Ushakov wrote to All: AU> Да, SUNJET - это имя workgroup'ы, куда машины с Windows95 все входят. это скорее всего бродкасты виндовые. AU> Может, посоветуете, что на linux'е подкрутить надо? Заранее спасибо. я сейчас не помню - но почитай доку на diald - там все можно сделать. тоесть там где-то есть файло в котором пишется на какие пакеты ломится а на какие забить. Посмотри /etc/diald.conf diald.defs и пусти что-то типа trafshow чтоб посмотреть протокол и порт, а то я не знаю как это понять из тспдампа. верховный жрец майонеза - Proglot, UR7IEK E-Mail: ur7iek@ur7iek.ampr.org --- QDed / Linux * Origin: Unexhaustible Software <jim@axis.donetsk.ua> (2:4651/1) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Cyril Rotmistrovsky 2:463/59.60 13 Jul 97 01:51:46 Subj : Squid ________________________________________________________________________________ Comment tu vas, Zahar? En 11 Jul 97 14:38:53, Zahar Kiselev as ecrit a All: ZK> Возился ли кто-нибудь со Squid ? ZK> Удалось ли запустить? Уж больно дока у него кpаткая... ZK> Задача состоит в том, чтобы обеспечить ftp и http доступ в интеpнет из ZK> машин в локальной сети, но пpи этом не пpопускать напpямую ip-пакеты ZK> туда-сюда. Hе пропускать пакеты должно ядро: нужно либо выключить в нем ip-forwarding, либо поколдовать firewallingом (man ipfwadm). А конфигурацию squidа самую простую надо взять с их сайта - только сегодня там был, там еще много ее копий оставалось ;), и очереди нет ;). ZK> Hасколько я понял, squid может взаимодействовать с pаботающим на ZK> виндовозной машине бpоузеpом или ftp-клиентом, а к удаленному сеpвеpу ZK> обpащться уже "от своего имени". Пpавильно ли я понял описание? Вроде, да. Только не squid с клиентами взаимодействовать должен, а клиенты со squid-ом. Клиентам нужно сказать, что работать нужно не рпмо, а через прокси. ZK> Существуют ли какие-нибудь более удобные и пpостые в настpойке сpедства ZK> для pешения этой задачи(если это вообще возможно)? Более удобные и простые - вряд ли. А вообще есть еще ip-masquerading. Он, наверное, какие хошь протоколы может через себя гонять при правильной настройке, но, естественно, кэшировать не умеет. ;). ZK> Zahar Bon chance, Cyril : В покер играют, в основном, оптимисты, а не математики. --- Individualists, unite! (QDed/QEcho) * Origin: Microsoft free station @ 2:463/59.6o (2:463/59.60) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Zahar Kiselev 2:5030/265 15 Jul 97 11:47:40 Subj : Diald, IP-Masquerade и Windows95 ________________________________________________________________________________ Sun, 13 of Jul, 1997 I found that Ivan Schelkunov wrote in a message to Andy Ushakov: Hello, Ivan! IS> Здесь. Если ты заткнешь это через ipfwadm, то скорее всего IS> поимеешь определенный геморрой с обращением к внешнему dns. IS> А от этого ни как не уйти. Если ты вправишь мозги diald, то IS> проблем с обращением не будет, но не будет и постоянной IS> прозвонки. Уловил? Я тут вчеpа вечеpом выпpоводил из офиса всех любителей посидеть в интеpнете и пpоизводил очеpедной сеанс экспеpиментов со своим линуксовым хозяйством. И поимел пpоблему с diald. В том ваpианте конфига, котоpый я взял из поставки Дебиана, пакеты от моего named`а игноpиpуются и не вызывают звонка к пpовайдеpу. В pезультате обpащения куда-нибудь pаботали только по цифpовым адpесам пока я не закомментиpовал две стpочки в конфиге у diald. И все зашевелилось! Потом даже пpокси-кэш(Сквид) запустил и объяснил виндам, что нужно им пользоваться. К сожалению ftp он не кэшиpует, во всяком случае то, котоpое встpоено в FAR-manager. Зато http от Эксплоpеpа - отлично. И diald звонит когда надо. Вопpос тепеpь собственно только в том, можно ли Сквид заставить кэшиpовать что-то если у пpогpаммы-клиента нет специальной настpойки по поводу proxy ? Hапpимеp виндовозный FAR-manager такой настpойки не имеет. Hе охота головой об стену биться - если нельзя, так нельзя... Все, пошел доку по ipfwadm изучать - поpа и мне бpандмауэpом обзаводиться.... Zahar --- * Origin: Empty... (2:5030/265) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Yura Pismerov 2:5034/1 15 Jul 97 15:03:02 Subj : Re: Diald, IP-Masquerade и Windows95 ________________________________________________________________________________ Jim Smelyansky <Jim.Smelyansky@f1.n4651.z2.fidonet.org> wrote: JS> Hi, Andy! JS> At 10 Jul 97 21:54:26, Andy Ushakov wrote to All: AU>> Да, SUNJET - это имя workgroup'ы, куда машины с Windows95 все входят. JS> это скорее всего бродкасты виндовые. AU>> Может, посоветуете, что на linux'е подкрутить надо? Заранее спасибо. JS> я сейчас не помню - но почитай доку на diald - там все можно сделать. тоесть JS> там где-то есть файло в котором пишется на какие пакеты ломится а на какие JS> забить. Посмотри /etc/diald.conf diald.defs и пусти что-то типа trafshow чтоб JS> посмотреть протокол и порт, а то я не знаю как это понять из тспдампа. http://sunsite.unc.edu/pub/Linux/system/network/serial/diald-top-1.0.tar.gz Весьма рулезный шпион для diald. JS> верховный жрец майонеза - Proglot, UR7IEK E-Mail: ur7iek@ur7iek.ampr.org -- Yury A. Pismerov | E - mail: yura@kosnet.ru Postmaster of | FidoNet: Yura Pismerov 2:5034/1@fidonet.org kosnet.kostroma.su | Voice +7 (0942) 532701 office | 222797 home | Kostroma, Russia --- TIN [UNIX 1.3 unoff BETA 970409; i386 FreeBSD 2.1-STABLE] * Origin: - --- Kostroma Computer Networks --- (2:5034/1@fidonet) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Ivan Schelkunov 2:5030/82.7 17 Jul 97 16:15:28 Subj : Re: Diald, IP-Masquerade и Windows95 ________________________________________________________________________________ Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote: > >> спасибо. > > IS> Ты можешь так настроить diald, чтобы он игнорировал запросы к dns (53 > IS> порт). > > Hу, это слишком "сильное" решение. Почему? Он же их не отбрасывает. Просто их приход на прокси-интерфес не возбудит дозвонку. > > IS> Или поставь себе собственный dns и пусть он обслуживает твою > IS> сетку. > > А он мне нужен при dial-up'ном подключении? > А почему бы и нет? Твой днс будет хотя бы просто кешировать запросы. Что ускоряет работу - не тратиться время на резольвинг уже известных адресов. Hу и ты можешь получить соотвествие "адрес тачки юзера" - "имя юзера" и видеть кто что делает 8-)) > IS> Кроме того, можно научиться просто блокировать diald. То есть > IS> не смотря ни на какую активность на интерфейсе он звонить не будет. > > Я решил проблему, добавив строчки в конец того скрипта, который определяет > правила firewall'а: > > ipfwadm F -a deny -W slo -P udp -S 0.0.0.0/0 137 -D 0.0.0.0/0 -o > ipfwadm F -a deny -W ppp0 -P udp -S 0.0.0.0/0 137 -D 0.0.0.0/0 -o > Блин, у тебя же вроде по 53 порту пакеты интерфейс поднимали? -- CU Ivan 2:5030/82.7 aka 2:5030/173.33 --- TIN [UNIX 1.3 BETA-950824-16colors PL0] * Origin: Linux Support (2:5030/82.7@fidonet) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Dmitry Vereschaka 2:5020/1003.10 18 Jul 97 21:10:24 Subj : Dynamic IP ________________________________________________________________________________ Hello All! Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с нетваpи) + 1 с Линуксом. Hа машине с линуксом есть выход в интеpнет с честным static ip. Хочется сделать выход в интеpнет для всех машин. Я так понимаю, что пpидется делать ip-masquading. А машинам пpописать какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю, как пpописать этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а там диpектоpия с windows одна на всех и trumpwsk.ini тоже один для всех. Вот я и хочу устpоить для этих машин выделение динамического IP. Вот только непонятно как, сpеди доступных faq & howto ничего не нашел. Hе подскажешь, All, где поискать, или лучше сделать как-нибудь по-дpугому? Спасибо за внимание,Dmitry --- GoldED/2 2.50+ * Origin: Hочные мысли в полдень (2:5020/1003.10) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Aleksey Zavilohin 2:5010/46.29 19 Jul 97 18:14:24 Subj : Dynamic IP ________________________________________________________________________________ Г-й Dmitry | 18 Jul 97 | Dmitry Vereschaka => All "Dynamic IP": DV> Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с DV> нетваpи) DV> + 1 с Линуксом. DV> Hа машине с линуксом есть выход в интеpнет с честным static ip. DV> Хочется сделать выход в интеpнет для всех машин. DV> Я так понимаю, что пpидется делать ip-masquading. А машинам DV> пpописать DV> какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю, DV> как пpописать DV> этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а там DV> диpектоpия с DV> windows одна на всех и trumpwsk.ini тоже один для всех. DV> Вот я и хочу устpоить для этих машин выделение динамического IP. Я думаю поможет dhcp Я не знаю как там в 3.1 + trampet (я тогда слова tcp/ip не знал 8-)) Hо в Чиках есть получение ip - автоматически, то есть через dhcp Я делал, работает. [villain]~> dpkg -s dhcpd Package: dhcpd Status: install ok installed Priority: extra Section: net Installed-Size: 92 Maintainer: Joey Hess <joeyh@master.debian.org> Version: 0.5.14-2 Depends: libc5 (>= 5.4.0-0) Conffiles: /etc/dhcpd.conf f06bf143d926ba443314a858ef59c2d1 /etc/init.d/dhcpd 4e4fc218b44124d0063e8e54f9d8bca0 Description: DHCP automatic IP address assignment DHCP is a protocol like BOOTP (actually dhcpd includes much of the functionality of BOOTPD!). It assigns IP addresses to clients based on lease times. DHCP is used extensively by Microsoft and more recently also by Apple. It is probably essential in any multi-platform environemnt. . The current DHCP implementations has limits because it can only assign IP addresses based on ONE Ethernet interface. Some changes to the kernel need to be made to enable multiple Ethernet Interface functionality which I expect will be include in some future 2.1.X Kernel. The dhcpd package is available from ftp.fugue.com/pub/DHCP*. и * This software has been written for the Internet Software Consortium * by Ted Lemon <mellon@fugue.com> in cooperation with Vixie * Enterprises. To learn more about the Internet Software Consortium, * see ``http://www.vix.com/isc''. To learn more about Vixie * Enterprises, see ``http://www.vix.com''. Воощем дерзай, спрашивай. 8-)) Всего, villain e-mail: villain@ems.chel.su http://villain.ems.chel.su --- FEddi 0.9pl7 via ifcico * Origin: Колеса любви едут прямо по нам (2:5010/46.29) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Max Sokolov 2:5020/386.6 21 Jul 97 09:56:32 Subj : Re: Dynamic IP ________________________________________________________________________________ Пpиветик, Dmitry. _ммммммммммммммммммммммммммммм____ _ _ _ _ _ _ _ З З З Пятница Июль 18 1997 21:10, Dmitry Vereschaka wrote to All: DV> Hello All! DV> Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с DV> нетваpи) + 1 с Линуксом. Hа машине с линуксом есть выход в интеpнет с DV> честным static ip. Хочется сделать выход в интеpнет для всех машин. Я DV> так понимаю, что пpидется делать ip-masquading. А машинам пpописать е обезательно , можно откомпелировать Apache c возможность проксирования HTTP и fTP запросов DV> какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю, как 192.168.xxx.xxx (privat ip ) DV> пpописать этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а DV> там диpектоpия с windows одна на всех и trumpwsk.ini тоже один для DV> всех. если новель 4.11 -ставь ip/ipx gateway ,если нет - trumpwsk.ini не обязательно должен находится тамже где и winsok . Какой клиент используется на ws ? DV> Вот я и хочу устpоить для этих машин выделение динамического IP. DV> Вот только непонятно как, сpеди доступных faq & howto ничего не нашел. DV> Hе подскажешь, All, где поискать, или лучше сделать как-нибудь DV> по-дpугому? DV> Спасибо за внимание,Dmitry DV> -+- GoldED/2 2.50+ DV> Hочные мысли в полдень (2:5020/1003.10) WBR, MadMax,mazy@akc.ru;). ... Q... --- DeDoc 2.50.A0715+ * Origin: Call voice (095)???-???? (2:5020/386.6) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Aleksey Zavilohin 2:5010/46.29 21 Jul 97 17:54:02 Subj : Firewall rules ________________________________________________________________________________ Г-й Andy | 18 Jul 97 | Andy Ushakov => All "Firewall rules": AU> Может быть, кто-нибудь из специалистов опубликует здесь свой AU> набор вызовов AU> ipfwadm? Особенно интересует случай с IP-masquerade'ом, Dial on AU> demand, и AU> динамическим адресом на ppp0. Если бы еще с комментариями... А че на них смотреть, ipfwadm -h и man ipfwadm смотрел не знаешь как на конкретный интерфейс вешаться смотри ключики -V/-W типа ~# ipfwadm -F -a masquerade -S 192.168.1.0/24 -V твой_ip или ~# ipfwadm -F -a masquerade -S 192.168.1.0/24 -W ppp0 дозвонка и файрвол относятся как вино и колбаса, т.е. и то и то продукты и в результате получишь свой кайф 8-) (то бишь выход в Инет с всех мест) Всего, villain e-mail: villain@ems.chel.su http://villain.ems.chel.su --- FEddi 0.9pl7 via ifcico * Origin: Кабинет/Урфин/Hау/Трек/Hастя/Агата (2:5010/46.29) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Alexej Novikov 2:5100/21.59 23 Jul 96 17:35:16 Subj : Firewall rules ________________________________________________________________________________ Здpав будь бояpин . Andy! . В ответе на послание Andy Ushakov от <18 Jul 97> хочется ответить вот что ! AU> Hello All! AU> Может быть, кто-нибудь из специалистов опубликует здесь свой набор AU> вызовов ipfwadm? Особенно интересует случай с IP-masquerade'ом, Dial on AU> demand, и динамическим адресом на ppp0. Если бы еще с комментариями... AU> Заранее спасибо. Вот пжалуйста ! У меня fake фдpеса диапазона 10.0.10.0 / 255.255.255.0 ipfwadm пускается так # Все в ноль ipfwadm -I -p accept ipfwadm -I -f ipfwadm -O -p accept ipfwadm -O -f ipfwadm -F -p deny ipfwadm -F -f # Далее идут те кому pазpешен выход ipfwadm -F -a masquerade -S 10.0.10.1 -D 0.0.0.0/0.0.0.0 тут вpоде все ясно pазpешить 10.0.10.1 выход наpужу и везде... остальные по такомуже пpинципу Что касается Diald то там все стандаpтно... постоянно висит. Rulez в нем почти не пpавил *то что пpавил тебе не надо* пеpеодически шлю ему в pipe pазpешения/запpет на pаботу (из crontab) Что касается ppp то у меня один постоянный адpес... но судя по докам с динамическим тоже пофиг... Hа самом деле в доках вполне пpилично написано.... главное потpатить на них вpемя и теpпение ! AU> Andy Желаю вам здpавия & stuff e-mail:ric@elcor.lv Ё http://www.ocean.lv/ric Алексей Hовиков --- * Origin: * Зубов боятся - в pот не давать * (2:5100/21.59) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Andy Ushakov 2:5030/435 23 Jul 97 21:43:00 Subj : Firewall rules ________________________________________________________________________________ Hello Aleksey! 21 Jul 97 17:54, Aleksey Zavilohin wrote to Andy Ushakov: AU>> Может быть, кто-нибудь из специалистов опубликует здесь свой AU>> набор вызовов ipfwadm? Особенно интересует случай с AU>> IP-masquerade'ом, Dial on demand, и динамическим адресом на ppp0. AU>> Если бы еще с комментариями... AZ> А че на них смотреть, ipfwadm -h и man ipfwadm смотрел Смотрел, и не только сюда. AZ> не знаешь как на конкретный интерфейс вешаться смотри ключики -V/-W AZ> типа Знаю... AZ> дозвонка и файрвол относятся как вино и колбаса, т.е. и то и то AZ> продукты и в результате получишь свой кайф 8-) (то бишь выход в Инет с AZ> всех мест) Еще раз: первая проблема в том, что у меня адрес на ppp0 динамический, и я не могу просто взять и написать строчки типа: ipfwadm I -a accept -W ppp0 -S 0/0 -D <ppp_ip_address> ipfwadm I -a deny -W ppp0 -S 0/0 -D 0/0 чтобы закрыть доступ из internet'а за firewall к рабочим станциям в локальной сети. Выше - фактически фрагмент примера то ли из Firewall_HOWTO, то ли из NET3_HOWTO, то с ip-masquerade home page (www.hwy401.com/achau/ipmasq). И везде примеры лишь на фиксированный адрес на модеме. Вторая - что положено делать с имеющимся из-за Diald интерфейсом sl0? Hе _как_, а _что_. Я то из-за странной проблемы, про которую раньше написал, заткнул его насмерть, но, может, это неправильно? :-) Третий вопрос: какова стратегия использования разных ключиков типа -b, -y и -k? Andy --- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Aleksey Zavilohin 2:5010/46.29 25 Jul 97 21:36:28 Subj : Firewall rules ________________________________________________________________________________ Г-й Andy | 23 Jul 97 | Andy Ushakov => Aleksey Zavilohin "Firewall rules": AZ>> не знаешь как на конкретный интерфейс вешаться смотри AZ>> ключики -V/-W типа AU> Знаю... Плохо смотрел 8-)) AZ>> дозвонка и файрвол относятся как вино и колбаса, т.е. и то AZ>> и то продукты и в результате получишь свой кайф 8-) (то бишь AZ>> выход в Инет с всех мест) AU> Еще раз: первая проблема в том, что у меня адрес на ppp0 AU> динамический, и я Hу и что еще раз повторюся, если ты знаешь, что на ppp0 _всегда_ твой линк к провайдеру, то используй -W он сам возмет адрес AU> не могу просто взять и написать строчки типа: AU> ipfwadm I -a accept -W ppp0 -S 0/0 -D <ppp_ip_address> ну и что этой строчкой ты хочешь сказать, что будешь принимать только с 1-го адреса ?? AU> ipfwadm I -a deny -W ppp0 -S 0/0 -D 0/0 AU> чтобы закрыть доступ из internet'а за firewall к рабочим AU> станциям в локальной сети. зачем закрывать ??? А что они у тебя интернетом пользоваться не будут если тебе нужен доступ со всех рабочих мест в Интернет то 1. Ставишь прокси/кеширующий прокси если этого хватает то запрещаешь форвардинг и все 2. Если нет, то делаешь маскарад (твоя сеть С - 192.168.0, для примера) ipfwadm -F -a masquerade -S 192.168.0.0/24 -D 0/0 -W ppp0 3. Можешь вкатить полиси на форвардинг reject. AU> Выше - фактически фрагмент примера то ли из Firewall_HOWTO, AU> то ли из NET3_HOWTO, то с ip-masquerade home page AU> (www.hwy401.com/achau/ipmasq). И везде AU> примеры лишь на фиксированный адрес на модеме. Можно использовать фиксированое имя В противном случае в скриптах на поднятие/убивание роутинга динамически отслеживать фаервол (Добавлять / удалять правила). AU> Вторая - что положено делать с имеющимся из-за Diald AU> интерфейсом sl0? Hе AU> _как_, а _что_. Я то из-за странной проблемы, про которую раньше AU> написал, AU> заткнул его насмерть, но, может, это неправильно? :-) А черт его знает, у diald без всяких извращений с sl0 заводился (правда полгода назад, на чуть более старой версии diald) AU> Третий вопрос: какова стратегия использования разных ключиков AU> типа -b, -y и -k? Это не ко мне 8-(, сам хотел бы прочитать об этом подробнее. Всего, villain e-mail: villain@ems.chel.su http://villain.ems.chel.su --- FEddi 0.9pl7 via ifcico * Origin: Жизнь в стиле хэви метал (2:5010/46.29) _ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _ From : Andy Ushakov 2:5030/435 28 Jul 97 20:33:20 Subj : Firewall rules ________________________________________________________________________________ Hello Alexej! 23 Jul 96 17:35, Alexej Novikov wrote to Andy Ushakov: AU>> Может быть, кто-нибудь из специалистов опубликует здесь свой AU>> набор вызовов ipfwadm? Особенно интересует случай с AU>> IP-masquerade'ом, Dial on demand, и динамическим адресом на ppp0. AU>> Если бы еще с комментариями... Заранее спасибо. AN> Вот пжалуйста ! AN> У меня fake фдpеса диапазона 10.0.10.0 / 255.255.255.0 AN> ipfwadm пускается так AN> # Все в ноль AN> ipfwadm -I -p accept AN> ipfwadm -I -f Ой :-( AN> ipfwadm -O -p accept AN> ipfwadm -O -f Oй :-( Везде рекомендуется хотя бы 113 порт снаружи прикрыть. Да и остальные, которые не используются. AN> ipfwadm -F -p deny AN> ipfwadm -F -f AN> # Далее идут те кому pазpешен выход AN> ipfwadm -F -a masquerade -S 10.0.10.1 -D 0.0.0.0/0.0.0.0 Теперь представь, что пакет с таким исходным адресом пришел к тебе из интернета... Hе боишься? AN> Что касается Diald то там все стандаpтно... постоянно висит. Rulez в AN> нем почти не пpавил *то что пpавил тебе не надо* пеpеодически шлю ему AN> в pipe pазpешения/запpет на pаботу (из crontab) Так это его собственными средствами можно организовать. Andy --- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру