The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw - непонятно..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw - непонятно..."
Сообщение от Mesmer emailИскать по авторуВ закладки on 27-Июн-02, 16:17  (MSK)
Вот набор правил ipfw

00050 divert 8668 ip from any to any via ed0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny icmp from any to any frag
00500 allow icmp from any to any
00600 allow ip from any to any out xmit rl0
00700 allow ip from any to any in recv rl0
00800 reset log logamount 200 tcp from any to any 113 in recv ed0
00900 allow ip from 192.168.1.4 to any
01000 allow ip from any to 192.168.1.4
01100 count log logamount 200 ip from any to any

Хотелось, чтобы хосту 192.168.1.4 было разрешено проходить сквозь, а остальным - запрещено. Пинг идет (00500) а вот остальное - нет. Где я ошибаюсь?
Еще - строка типа
{$fwcmd} add ip from any to any 20,21
вызывает ругань (кажется, что вполне справедливую) на тему, что порты можно указывать только для tcp или только для udp. Но вот в примерах настройки ipfw подобное встречается часто :-( Кто глючит - авторы примеров или моя система?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Эх, специалисты..."
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 07:40  (MSK)
Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим любимым ответом типа "man ipfw" ?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Эх, специалисты..."
Сообщение от Leo Искать по авторуВ закладки on 28-Июн-02, 09:36  (MSK)
>Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим
>любимым ответом типа "man ipfw" ?

У тебя по умолчанию все закрыто?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Эх, специалисты..."
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 10:40  (MSK)
>>Что, на конкретный вопрос слабо ответить? Где местный светоч lavr со своим
>>любимым ответом типа "man ipfw" ?
>
>У тебя по умолчанию все закрыто?
Да. По умолчанию все закрыто. Если сказать pass all from any to any, все коннектится как надо. Но нужно, чтоб коннектилось только с избранных адресов, по ним считалась раздельная статистика, а остальных - нафиг.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Эх, специалисты..."
Сообщение от Leo Искать по авторуВ закладки on 28-Июн-02, 09:37  (MSK)
Я делаю примерно то же само только у меня еще сквид к тому же прозрачный как изнутри так и снаружи.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Эх, специалисты..."
Сообщение от Leo Искать по авторуВ закладки on 28-Июн-02, 10:52  (MSK)
Ну статистику он будет считать хоть конекться хоть нет, это неважно.

А сейчас не работает?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Эх, специалисты..."
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 11:48  (MSK)
>Ну статистику он будет считать хоть конекться хоть нет, это неважно.
>
>А сейчас не работает?
Если не разрешить все и всем, не работает. Если разрешить, то (вот ведь прикол) статистику по отдельному пользователю считает. Но и все остальные могут пользоваться и попадают только в общую статистику.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Эх, специалисты..."
Сообщение от Leo Искать по авторуВ закладки on 28-Июн-02, 10:57  (MSK)
На ed0 открой коннект
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Эх, специалисты..."
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 11:44  (MSK)
>На ed0 открой коннект
Это как? Чтоб ко мне извне ходили все, кому не лень? Мне нужно открыть доступ к одной из машин в локальной сети с определенного адреса (диапазона) и по определенному протоколу. Как это сделать?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw"
Сообщение от alexey Искать по авторуВ закладки on 28-Июн-02, 11:58  (MSK)
первый вопрос, а у тебя natd -n ed0 запушен?
второе вместо правил 600 и 700 можно написать allow ip from any to any via rl0
И чего то я не видел в примерах add ip from any to any 20,21 где ты это выкопал?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: ipfw"
Сообщение от Leo Искать по авторуВ закладки on 28-Июн-02, 12:33  (MSK)
>первый вопрос, а у тебя natd -n ed0 запушен?
>второе вместо правил 600 и 700 можно написать allow ip from any
>to any via rl0
>И чего то я не видел в примерах add ip from any
>to any 20,21 где ты это выкопал?

Так разреши только нужным машинам на внтурненний интерфейс коннектится, а на внешний с любой но по нужным протоколам

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: ipfw"
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 12:47  (MSK)
>Так разреши только нужным машинам на внтурненний интерфейс коннектится, а на внешний
>с любой но по нужным протоколам
Так КАК это сделать? Чегой-то совсем перестал я в этой жизни понимать.
Почему не помогают правила 00900 b 01000 ? Оно ж нифига не коннектится!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: ipfw"
Сообщение от Monstruk emailИскать по авторуВ закладки on 28-Июн-02, 12:42  (MSK)
>первый вопрос, а у тебя natd -n ed0 запушен?
Запущен! И работает.

>второе вместо правил 600 и 700 можно написать allow ip from any
>to any via rl0
Согласен, это от замороченности, ошметки муторного экспериментирования...

>И чего то я не видел в примерах add ip from any
>to any 20,21 где ты это выкопал?
Так я ж говорю "типа". Щас так просто не найду, откуда я те примеры выкапывал, но было там именно ip и определенные порты :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: ipfw - непонятно..."
Сообщение от Orbita emailИскать по авторуВ закладки on 29-Июн-02, 15:03  (MSK)
00100 allow ip from 192.168.1.4 to any
00200 allow ip from any to 192.168.1.4
00300 allow ip from any to any via lo0
00400 deny ip from any to 127.0.0.0/8
00500 deny ip from 127.0.0.0/8 to any
00600 divert 8668 ip from any to any via ed0


>Еще - строка типа
>{$fwcmd} add ip from any to any 20,21

add tcp !!!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: ipfw - непонятно..."
Сообщение от Orbita emailИскать по авторуВ закладки on 29-Июн-02, 15:16  (MSK)
00900 allow ip from 192.168.1.4 to any via rl0
01000 allow ip from any to 192.168.1.4 via rl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00050 divert 8668 ip from any to any via ed0


>{$fwcmd} add ip from any to any 20,21

Только tcp !!

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру