forum.opennet.ru

"ipfw dummnet"

Форум Открытые системы на сервере
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "ipfw dummnet"	+/–
Сообщение от ppa (?), 13-Июн-04, 00:38
>>ipfw count, после совпадения с этим правилом перебор продолжается, и зависит >>от переменной net.inet.ip.fw.one_pass. > которая у тебя как и у меня = 1 >> >>00010 pipe 1 ip from any to any via rl0 >>01061 count ip from 192.168.100.106 to any via ng30 >>01062 count ip from any to 192.168.100.106 via ng30 >>01071 pipe 2 ip from any to 192.168.100.105 >>08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 >>09000 divert 8668 ip from any to 193.9.165.10 >>09010 pipe 3 ip from 192.168.100.0/24 to any >>09010 pipe 4 ip from any to 193.9.165.10 >>50000 allow ip from any to any >>65535 deny ip from any to any >> >>Итак В пайп 1 попадают все пакеты, проходящие чарез rl0 >>В каунт все что идет на/с 192.168.100.106 >>В пайп 2 все на 192.168.100.105 >>В НАТ идет все сеть 192.168.100.105/24 кроме 192.168.100.106 потому как пакеты от >>него до этого правила не доходят, они уже обработаны. нужно ограничивать действие диверта или трубы интерфейсом тогда можно будет сделать чтобы эти пакеты попали в фаервол _как бы_ еще раз например если у тебя все юзеры из это сетки висят на ng* то можно сделать так: 08000 divert 8668 ip from 192.168.100.0/24 to any out xmit fxp0 09000 divert 8668 ip from any to 193.9.165.10 09010 pipe 3 ip from any to any via ng* in 09010 pipe 4 ip from any to any via ng* out -- ppa
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

ipfw dummnet, simba, 09-Июн-04, 21:52 [смотреть все]

кто нить могёт рабочий конфиг дать , simba, 09-Июн-04, 21:54 (1) //
- fwcmd , pev2000, 10-Июн-04, 00:25 (2) //
  - еще маленький вопрос всё таки до или после диверта ставлю после у меня не работа, simba, 10-Июн-04, 18:36 (3) //
    - гы так прям и поставил - совсем головой не хочешь думать не добавил я эти, pev2000, 10-Июн-04, 20:27 (4)
      - lol ясный пень ,токо мне надо круче выпендритьсяделю всё полосу на всех поэто, simba, 11-Июн-04, 08:46 (5)
        
        fwcmd add prob 0 90 pipe 1 tcp from any 80,443 to 192 168 0 1 24 fwcmd pipe 1 c, A Clockwork Orange, 11-Июн-04, 10:23 (6)
        
        192 168 0 1 24 - это сеть 24 это побитовая маска http home mark-itt ru se, simba, 11-Июн-04, 10:36 (7)
        
        Ну и покажи хоть один хост в этой сети, A Clockwork Orange, 11-Июн-04, 11:27 (8)
        
        если ты имел честь заглянуть по приведеной ссылке - http home mark-itt ru sen, pev2000, 11-Июн-04, 12:33 (9)
        
        А вот тебе статьсяhttp ipfw ism kiev ua nipfw html sbin ipfw pipe 1 config bw , A Clockwork Orange, 11-Июн-04, 15:45 (11)
        
        статья есть перевод man ipfw , для новичков полезная штука , pev2000, 14-Июн-04, 15:32 (25)
У меня все правила стоят и работают после диверта, единственое что стоит до диве, pev2000, 11-Июн-04, 12:52 (10) //
- получается , если ты до диверта пакеты никакие не режишь,а сразу всё впускаешь и, simba, 11-Июн-04, 16:54 (12)
- Ну вот собственно в мане все написано просто и доходчиво Для каждого пакета идет, khan, 11-Июн-04, 17:34 (13) //
  - и в данном случае у тебя оно 1 или 0 - , pev2000, 11-Июн-04, 17:53 (14) //
    - В данном - 1,у меня оно всегда один, а то если 0 после некоторых совпадений паке, khan, 12-Июн-04, 14:06 (15)
      - которая у тебя как и у меня 1обработаны кем count ом man ipfw count Update, pev2000, 12-Июн-04, 16:46 (16)
        
        нужно ограничивать действие диверта или трубы интерфейсомтогда можно будет сдела , ppa, 13-Июн-04, 00:38 (17)
        Ну это я конечно прогнал, см первое предложение, да и если было бы allowто на вы, khan, 14-Июн-04, 11:58 (20)
Все правила ipfw обрабатываются дважды - на входе пакета и на выходе Если ты ис, Дмитрий Ю. Карпов www.prof.pi2.ru, 13-Июн-04, 23:47 (18) //
- и не только allow,man ipfwallow 124 accept 124 pass 124 permitAllow pac, pev2000, 14-Июн-04, 02:14 (19) //
  - Ты сам понял что написал Во-первых что скрывается под me Во-вторых какие у тебя, khan, 14-Июн-04, 12:15 (21) //
    - конечно и у меня это работает а под _me_ скрываются все ip адреса данного компу, pev2000, 14-Июн-04, 14:02 (23)
      - Ну ладно с me у нас не сложилось Но ага поставь allow ip from 192 168 0 0 16 to, khan, 14-Июн-04, 15:56 (26)
        
        естественно не дайдут а ты знаешь для чего я вообще добавил эти правила to me , pev2000, 14-Июн-04, 17:49 (27)
  - Правильно Но вот deny надо размещать ДО divert, т к divert natd меняют IP-номе, Дмитрий Ю. Карпов www.prof.pi2.ru, 14-Июн-04, 13:02 (22) //
    - правильный учет трафика, считать ли deny трафик или не считать, это совсем друга, pev2000, 14-Июн-04, 15:24 (24)
      - Я не знаю кто чего на это ответит, но выскажу некоторые соображения по поводу пр, Misha Volkov, 19-Июн-04, 20:01 (28)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру