forum.opennet.ru

Составление сообщения

Исходное сообщение

"НАТ и не стадартные возможноти ipfw в 7-ой фре"
Отправлено alex123, 31-Окт-08 14:40

>если ето скрипт указаный в rc.conf опцией firewwall_type="этот скрипт"
>то в начале скрипта нужно очищать првила
>flush
>и добавить
>allow ip from any to any via lo0
да это действительно скрипт firewwall_type="этот скрипт", так что мне приходится вручную переправлять имена переменных на их значение (найти/заменить --рулит :))
>
>фильтрацию по мак в твоем случае не нужна во первых у тебя
>в локалке всего 16 компов
>и тебе их не так сложно отфильтровать по макам еще на арп
>уровне или просто сделай так
>arp -s 192.168.1.2 00:E0:18:99:E5:11 и запиши эту строчку в файл rc.local
>а включив фильтрацию по мак в фаерволе ты заставиш пакеты попадать в
>фаервол четыре раза вместо двух.
>
ок, так и сделаю,СПАСИБО! (только откуда получается четыре раза вместо двух я так и не разобрался, и почему не работает мой вариант--тоже)
>>#dynamic on
>>add 40 check-state
>Скажем так все правила после 50 надо убрать они не работоспособны
>чего стоит 70 правило :) подумай над ним.
>>#NAT
>>add 70 skipto 72 all from any to any via ${intinterface}
>>add 71 deny all from any to any via ${outinterface}
>>add 72 nat ip from any to not ${intnet} out via ${outinterface}
Ок. 70-ое -- я ступил, хотел чтоб для внутреннего интерфеса правило 71 не блокировало,а потом его подправил а про 70-ое забыл.
>И написать что то вроде :
>
>add 2000 nat ip from any to any via ${outinterface}
у меня НЕ НАСТРАИВАЕТСЯ НАТ :(((((((:
Ошибки:
Oct 31 08:15:37 alex123 kernel: ipfw2 (+ipv6) initialized, divert loadable, rule-
based forwarding disabled, default to deny, logging disabled
Oct 31 08:15:37 alex123 kernel: ipfw: ipfw_ctl invalid option 56
Oct 31 08:15:37 alex123 savecore: no dumps found
Чего я такого намудрил??

>add 2100 allow tcp from ${intnet} to not ${intnet} 20,21,80,8080,443 setup
наверно глупый вопрос, но что означает опция setup

>add 2200 allow udp from ${intnet} to not ${intnet} 20,21,53 keep-state
>add 2300 allow icmp from ${intnet} to not ${intnet} icmptype 8 keep-state
>
>
>add 64900 allow tcp from any to any established
и что ето застранная надпись established? :)
>add 65000 deny ip from any to any
>#Rules END
>
>Изобретал на лету мог и ошибиться, но на первый взгляд все должно
>работать
>
ОГРОМНОЕ СПАСИБО,
С уважение alex123.

Исходное сообщение
"НАТ и не стадартные возможноти ipfw в 7-ой фре" Отправлено alex123, 31-Окт-08 14:40
>если ето скрипт указаный в rc.conf опцией firewwall_type="этот скрипт" >то в начале скрипта нужно очищать првила >flush >и добавить >allow ip from any to any via lo0 да это действительно скрипт firewwall_type="этот скрипт", так что мне приходится вручную переправлять имена переменных на их значение (найти/заменить --рулит :)) > >фильтрацию по мак в твоем случае не нужна во первых у тебя >в локалке всего 16 компов >и тебе их не так сложно отфильтровать по макам еще на арп >уровне или просто сделай так >arp -s 192.168.1.2 00:E0:18:99:E5:11 и запиши эту строчку в файл rc.local >а включив фильтрацию по мак в фаерволе ты заставиш пакеты попадать в >фаервол четыре раза вместо двух. > ок, так и сделаю,СПАСИБО! (только откуда получается четыре раза вместо двух я так и не разобрался, и почему не работает мой вариант--тоже) >>#dynamic on >>add 40 check-state >Скажем так все правила после 50 надо убрать они не работоспособны >чего стоит 70 правило :) подумай над ним. >>#NAT >>add 70 skipto 72 all from any to any via ${intinterface} >>add 71 deny all from any to any via ${outinterface} >>add 72 nat ip from any to not ${intnet} out via ${outinterface} Ок. 70-ое -- я ступил, хотел чтоб для внутреннего интерфеса правило 71 не блокировало,а потом его подправил а про 70-ое забыл. >И написать что то вроде : > >add 2000 nat ip from any to any via ${outinterface} у меня НЕ НАСТРАИВАЕТСЯ НАТ :(((((((: Ошибки: Oct 31 08:15:37 alex123 kernel: ipfw2 (+ipv6) initialized, divert loadable, rule- based forwarding disabled, default to deny, logging disabled Oct 31 08:15:37 alex123 kernel: ipfw: ipfw_ctl invalid option 56 Oct 31 08:15:37 alex123 savecore: no dumps found Чего я такого намудрил?? >add 2100 allow tcp from ${intnet} to not ${intnet} 20,21,80,8080,443 setup наверно глупый вопрос, но что означает опция setup >add 2200 allow udp from ${intnet} to not ${intnet} 20,21,53 keep-state >add 2300 allow icmp from ${intnet} to not ${intnet} icmptype 8 keep-state > > >add 64900 allow tcp from any to any established и что ето застранная надпись established? :) >add 65000 deny ip from any to any >#Rules END > >Изобретал на лету мог и ошибиться, но на первый взгляд все должно >работать > ОГРОМНОЕ СПАСИБО, С уважение alex123.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру