Исходное сообщение
"Создание правил IPFW" Отправлено seller, 01-Окт-06 01:00
>Есть сеть:   ааа.ббб.ввв.ггг\24   нужно написать правило на IPFW >для того что бы с любого АйПи этой сети можно было >посылать\принмать данные на адресс(е)  ааа.ббб.ввв.1\32(который далее переправит пакеты в другое >место)  и что бы было запрещено передавать\принимать любые данные из >этой сети(ааа.ббб.ввв.ггг\24) в эту же сеть через адресс ааа.ббб.ввв.1\32. > >Предложения написать блок правил для каждого адресса отпадают. Правило должно быть малым, >быстрым и конструктивным. > >Что-то типа такого, но улучшеное: >100 deny ip from ааа.ббб.ввв.ггг\24 to ааа.ббб.ввв.ггг\24 via ааа.ббб.ввв.1\32 >200 allow ip from ааа.ббб.ввв.ггг\24 to ааа.ббб.ввв.1\32 via ааа.ббб.ввв.1\32 Не сочтите за наглость, но вам бы доков сначала хоть чуть-чуть почитать не помешало бы. Хотя бы man ipfw. Прочитав (самую малость) ман, можно было бы понять, что файрвол ipfw - это файрвол, а не маршрутизатор (форвардинг не в счет). Т.е. пропускает или блокирует входящие и исходящие ip-пакеты на/с установленных в системе интерфейсах (читай - сетевых карт). Он никоим образом не занимается маршрутизацией пакетов из одной сети в другую через третью. И ему вообще до большой Ж эта маршрутизация, т.к. глобальный его удел совсем в другой (оттого он зовется огнестеной, а не каким-нибудь роутером). Далее, с того же мана можно было бы почерпнуть инфу о том, что правила типа >100 deny ip from ааа.ббб.ввв.ггг\24 to ааа.ббб.ввв.ггг\24 via ааа.ббб.ввв.1\32 >200 allow ip from ааа.ббб.ввв.ггг\24 to ааа.ббб.ввв.1\32 via ааа.ббб.ввв.1\32 невозможны в принципе, т.к. опция via указывает на то, что файрвол также должен проверять с какого интерфейса он получил пакет и стоит ли его блокировать/пропускать. В других словах, правило в общем виде должно выглядеть примерно так: 100 deny ip from 1.1.1.1/24 to 2.2.2.2/24 via rl0 что в переводе на русский язык значит "блокировать пакеты полученные с сетевой карты rl0, пришедшие по протоколу ip из сети 1.1.1.1 с сетевой маской 24 (255.255.255.0) и предназначенные для какого-нибудь адреса из сети 2.2.2.2 с сетевой маской 24". Если придет аналогичный пакет из сети 1.1.1.1/24 в сеть 2.2.2.2/24, но через интерфейс, скажем bfe0, он будет пропущен, т.к. в правиле задана блокировка пакетов с интерфейса rl0. В общем-то вы и не виноваты, что манов не читали, и заставлять вас никто не будет (вас просто могут отфутболить к ним:). Если вам поставили задачу найти такие правила или попросить кого-нибудь, кто мог бы написать их, то, похоже, не того попросили. Если же они вам самой нужны, то в любом случае _ИЗНАЧАЛЬНО_ нужно обращаться к литературе. Тогда вы хотя бы примерно поймете предметную область и вопросы будете задавать четче и правильнее. А то получается "хочу кастрюлю, разогревающую картошку микроволнами от батареек", не зная хотя бы, что кастрюля микроволны пускать не умеет... Да и вообще, ваш вопрос выглядит даже и не как вопрос или просьба, а скорее как приказ... Ну ладно, ежели вы хотите >что бы с любого АйПи этой сети можно было посылать\принмать данные на адресс(е)  ааа.ббб.ввв.1\32 то наверное вам поможет allow ip from а.б.в.г/24 to а.б.в.1/24 allow ip from а.б.в.1/24 to а.б.в.г/24 >(который далее переправит пакеты в другое место) тот сервер нужно отдельно просить, чтобы он переправил пакеты... файрвол с одного сервера не будет просить файрвол (или какой-либо демон) другого сервера сделать что-нибудь... типа послать пакеты дальше куда там нужно... А если же нужно >что бы было запрещено передавать\принимать любые данные из этой сети(ааа.ббб.ввв.ггг\24) в эту же сеть через адресс ааа.ббб.ввв.1\32 то наверное поможет add deny ip from а.б.в.г/24 to а.б.в.г/24 via <имя_интерфейса_который_смотрит_в_сеть_а.б.в.г/24> с условием того, что это правило будет написано для файрвола, стоящего на машине а.б.в.1. Еще замечу, что сетевая маска (цифры через слеш после айпи-адреса) пишется через прямой слэш (/), а не обратный (\) как у вас, иначе конструкция \2 будет воспринята как просто символ "2" и вместо "а.б.в.г\24" вы получите "а.б.в.г24". К тому же, сети с маской 32 (255.255.255.255) не существует (просто получится один ip-адрес, который, к тому же будет считаться широковещательным). Некоторые клиенты, как dhclient, клиент DHCP использует адрес вида 0.0.0.0/32, но на моей памяти это единственный случай использования маски такого рода (или память меня подводит...?). Если вы имеете в виду какой-то конкретный адрес (а.б.в.1 в вашем случае), то маску писать не надо! Если а.б.в.1 находится в той же сети (а.б.в.г/24), то смысла приведенного выше мной правила я не вижу, т.к. маршрутизацией пакетов в пределах сети будет заниматься свитч (хаб) и если пакет не предназначен для а.б.в.1, то его он никогда и не получит (если только у вас не свитч, а хаб. Хотя, даже в этом случае пакет будет просто проигнорирован машиной)... Ладно, хватит разглагольствовать, пару нравоучений я вам дал. Если же вы знаете и понимаете о чем спрашивали, но просто не так выразили мысли, ваш вопрос имеет хоть какую-то практическую ценность и не является чепухой и полной фигней, читайте далее............... Теперь ВНИМАНИЕ! Намек на ответ на ваш вопрос: копайте доки в сторону ipfw forwarding! Насколько я понял суть вашего вопроса, думаю, вам это поможет... :))) Удачи!