forum.opennet.ru - "Запрет на трафик между сетями в IPFilter" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Запрет на трафик между сетями в IPFilter"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Запрет на трафик между сетями в IPFilter"
Сообщение от RaZOR on 28-Авг-03, 18:57 (MSK)
Существует роутер, который рулит интернет в две сети. Нужно чтобы в инет ходили все, а к друг-другу ни-ни! т.е. чтобы сеть из интерфейса fxp1 не видела сеть fxp2 помогите! в выходные надо завести сервак :( толи я что-то в правилах написал разрешающее, толи еще что-то... У меня IPFilter по умолчанию запрещает все. Выдержка из ipf.rules: # lo0 - loopback # fxp0 - external interface to provider # fxp1 - internal interface to private network 1 # fxp2 - internal interface to private network 2 #################### # Interface: all # Block all incoming and outgoing packets unless they're allowed later. block in log all block out log all #################### # Interface: lo0 # Allow loobback to flow freely pass in quick on lo0 all pass out quick on lo0 all #################### # Interface: fxp1 # Allow internal traffic to flow freely pass in quick on fxp1 all pass out quick on fxp1 all #################### # Interface: fxp2 # Allow internal traffic to flow freely pass in quick on fxp2 all pass out quick on fxp2 all #################### # Block all packets on external interface fxp0 in internal networks block in quick on fxp0 from 192.168.0.0/16 to any block in quick on fxp0 from 172.16.0.0/16 to any block in quick on fxp0 from 10.0.0.0/8 to any
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Запрет на трафик между сетями в IPFilter, HFSC, 19:40 , 28-Авг-03, (1)
- Запрет на трафик между сетями в IPFilter, RaZOR, 21:22 , 28-Авг-03, (2)
- Запрет на трафик между сетями в IPFilter, RaZOR, 21:22 , 28-Авг-03, (3)
  - Запрет на трафик между сетями в IPFilter, RaZOR, 08:40 , 29-Авг-03, (4)
    - Запрет на трафик между сетями в IPFilter, SergeyKa, 09:32 , 29-Авг-03, (5)
      - Запрет на трафик между сетями в IPFilter, RaZOR, 09:46 , 29-Авг-03, (6)
        
        Запрет на трафик между сетями в IPFilter, SergeyKa, 16:44 , 29-Авг-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Запрет на трафик между сетями в IPFilter"

Сообщение от HFSC on 28-Авг-03, 19:40  (MSK)

>Существует роутер, который рулит интернет в две сети.
>Нужно чтобы в инет ходили все, а к друг-другу ни-ни!
>т.е. чтобы сеть из интерфейса fxp1 не видела сеть fxp2
>помогите! в выходные надо завести сервак :(
>толи я что-то в правилах написал разрешающее, толи еще что-то...
>У меня IPFilter по умолчанию запрещает все.
>Выдержка из ipf.rules:
>
># lo0 - loopback
># fxp0 - external interface to provider
># fxp1 - internal interface to private network 1
># fxp2 - internal interface to private network 2
>####################
># Interface: all
># Block all incoming and outgoing packets unless they're allowed later.
>block in log all
>block out log all
>####################
># Interface: lo0
># Allow loobback to flow freely
>pass in quick on lo0 all
>pass out quick on lo0 all
>####################
># Interface: fxp1
># Allow internal traffic to flow freely
>pass in quick on fxp1 all
>pass out quick on fxp1 all
>####################
># Interface: fxp2
># Allow internal traffic to flow freely
>pass in quick on fxp2 all
>pass out quick on fxp2 all
>####################
># Block all packets on external interface fxp0 in internal networks
>block in quick on fxp0 from 192.168.0.0/16 to any
>block in quick on fxp0 from 172.16.0.0/16 to any
>block in quick on fxp0 from 10.0.0.0/8 to any
block in on fxp1 all head 100
block out on fxp1 all head 200
block in on fxp2 all head 300
block out on fxp2 all head 400
pass in quick on lo0 all
pass out quick on lo0 all
block in all
block out all
block in quick from network2 to network1 group 100
block out quick from network1 to network2 group 200
block in quick from network1 to network2 group 300
block out quick from network2 to network1 group 400
pass in quick on fxp0 all
pass out quick on fxp0 all
pass in quick on fxp1 all
pass out quick on fxp1 all
pass in quick on fxp2 all
pass out quick on fxp2 all

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Запрет на трафик между сетями в IPFilter"

Сообщение от RaZOR on 28-Авг-03, 21:22  (MSK)

Спасибо!
Есть почва для размышлений...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Запрет на трафик между сетями в IPFilter"

Сообщение от RaZOR on 28-Авг-03, 21:22  (MSK)

А если у меня намечается (к сожалению) 15 сетевых интерфейсов (в основном виртуальных) как быть???
тогда уже блокировка доступа от одной сети к другой на вход и на выход не поможет!
надо как-то иначе вырулить... эх, беда, блин, на мою голову :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Запрет на трафик между сетями в IPFilter"

Сообщение от RaZOR on 29-Авг-03, 08:40  (MSK)

ну помогите, люди! жутко надо...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Запрет на трафик между сетями в IPFilter"

Сообщение от SergeyKa on 29-Авг-03, 09:32  (MSK)

>ну помогите, люди! жутко надо...
Несовсем понятно. Давай подробности.
Адреса сетей какие будут? Из разного диапазона или одного?
192.168.10.0
192.168.11.0 .... ?
С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу? Какие пользовательские станции в сетях.
Если из соображений безопасности и клиенты висят на одном физическом интерфейсе - то вряд ли фильтр тебе поможет...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Запрет на трафик между сетями в IPFilter"

Сообщение от RaZOR on 29-Авг-03, 09:46  (MSK)

>Несовсем понятно. Давай подробности.
>Адреса сетей какие будут? Из разного диапазона или одного?
>192.168.10.0
>192.168.11.0 .... ?
>
>С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу?
>Какие пользовательские станции в сетях.
>
>Если из соображений безопасности и клиенты висят на одном физическом интерфейсе -
>то вряд ли фильтр тебе поможет...
секьюрити естественно. сети в диапазоне 192.168.0.0
т.е. 192.168.1.0, 192.168.2.0 и т.д.
виртуальные интерфейсы будут завязываться с номером VLAN на коммутаторе...
причем тут машины пользователей?
суть разделить трафик между интерфейсами на сервере
IPFilter - firewall как никак... должен помочь :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Запрет на трафик между сетями в IPFilter"

Сообщение от SergeyKa on 29-Авг-03, 16:44  (MSK)

>>Несовсем понятно. Давай подробности.
>>Адреса сетей какие будут? Из разного диапазона или одного?
>>192.168.10.0
>>192.168.11.0 .... ?
>>
>>С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу?
>>Какие пользовательские станции в сетях.
>>
>>Если из соображений безопасности и клиенты висят на одном физическом интерфейсе -
>>то вряд ли фильтр тебе поможет...
>
>секьюрити естественно. сети в диапазоне 192.168.0.0
>т.е. 192.168.1.0, 192.168.2.0 и т.д.
>виртуальные интерфейсы будут завязываться с номером VLAN на коммутаторе...
>причем тут машины пользователей?
>суть разделить трафик между интерфейсами на сервере
>IPFilter - firewall как никак... должен помочь :)
Попробуй так
block in quick from 192.168.0.0/16 to 192.168.0.0/16
block out quick from 192.168.0.0/16 to 192.168.0.0/16

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Запрет на трафик между сетями в IPFilter"
Сообщение от HFSC on 28-Авг-03, 19:40 (MSK)
>Существует роутер, который рулит интернет в две сети. >Нужно чтобы в инет ходили все, а к друг-другу ни-ни! >т.е. чтобы сеть из интерфейса fxp1 не видела сеть fxp2 >помогите! в выходные надо завести сервак :( >толи я что-то в правилах написал разрешающее, толи еще что-то... >У меня IPFilter по умолчанию запрещает все. >Выдержка из ipf.rules: > ># lo0 - loopback ># fxp0 - external interface to provider ># fxp1 - internal interface to private network 1 ># fxp2 - internal interface to private network 2 >#################### ># Interface: all ># Block all incoming and outgoing packets unless they're allowed later. >block in log all >block out log all >#################### ># Interface: lo0 ># Allow loobback to flow freely >pass in quick on lo0 all >pass out quick on lo0 all >#################### ># Interface: fxp1 ># Allow internal traffic to flow freely >pass in quick on fxp1 all >pass out quick on fxp1 all >#################### ># Interface: fxp2 ># Allow internal traffic to flow freely >pass in quick on fxp2 all >pass out quick on fxp2 all >#################### ># Block all packets on external interface fxp0 in internal networks >block in quick on fxp0 from 192.168.0.0/16 to any >block in quick on fxp0 from 172.16.0.0/16 to any >block in quick on fxp0 from 10.0.0.0/8 to any block in on fxp1 all head 100 block out on fxp1 all head 200 block in on fxp2 all head 300 block out on fxp2 all head 400 pass in quick on lo0 all pass out quick on lo0 all block in all block out all block in quick from network2 to network1 group 100 block out quick from network1 to network2 group 200 block in quick from network1 to network2 group 300 block out quick from network2 to network1 group 400 pass in quick on fxp0 all pass out quick on fxp0 all pass in quick on fxp1 all pass out quick on fxp1 all pass in quick on fxp2 all pass out quick on fxp2 all
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Запрет на трафик между сетями в IPFilter"
	Сообщение от RaZOR on 28-Авг-03, 21:22 (MSK)
	Спасибо! Есть почва для размышлений...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Запрет на трафик между сетями в IPFilter"
	Сообщение от RaZOR on 28-Авг-03, 21:22 (MSK)
	А если у меня намечается (к сожалению) 15 сетевых интерфейсов (в основном виртуальных) как быть??? тогда уже блокировка доступа от одной сети к другой на вход и на выход не поможет! надо как-то иначе вырулить... эх, беда, блин, на мою голову :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Запрет на трафик между сетями в IPFilter"
	Сообщение от RaZOR on 29-Авг-03, 08:40 (MSK)
	ну помогите, люди! жутко надо...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Запрет на трафик между сетями в IPFilter"
	Сообщение от SergeyKa on 29-Авг-03, 09:32 (MSK)
	>ну помогите, люди! жутко надо... Несовсем понятно. Давай подробности. Адреса сетей какие будут? Из разного диапазона или одного? 192.168.10.0 192.168.11.0 .... ? С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу? Какие пользовательские станции в сетях. Если из соображений безопасности и клиенты висят на одном физическом интерфейсе - то вряд ли фильтр тебе поможет...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Запрет на трафик между сетями в IPFilter"
	Сообщение от RaZOR on 29-Авг-03, 09:46 (MSK)
	>Несовсем понятно. Давай подробности. >Адреса сетей какие будут? Из разного диапазона или одного? >192.168.10.0 >192.168.11.0 .... ? > >С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу? >Какие пользовательские станции в сетях. > >Если из соображений безопасности и клиенты висят на одном физическом интерфейсе - >то вряд ли фильтр тебе поможет... секьюрити естественно. сети в диапазоне 192.168.0.0 т.е. 192.168.1.0, 192.168.2.0 и т.д. виртуальные интерфейсы будут завязываться с номером VLAN на коммутаторе... причем тут машины пользователей? суть разделить трафик между интерфейсами на сервере IPFilter - firewall как никак... должен помочь :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Запрет на трафик между сетями в IPFilter"
	Сообщение от SergeyKa on 29-Авг-03, 16:44 (MSK)
	>>Несовсем понятно. Давай подробности. >>Адреса сетей какие будут? Из разного диапазона или одного? >>192.168.10.0 >>192.168.11.0 .... ? >> >>С какой целью делаеш разделение? Security? Или чтобы не мешали друг другу? >>Какие пользовательские станции в сетях. >> >>Если из соображений безопасности и клиенты висят на одном физическом интерфейсе - >>то вряд ли фильтр тебе поможет... > >секьюрити естественно. сети в диапазоне 192.168.0.0 >т.е. 192.168.1.0, 192.168.2.0 и т.д. >виртуальные интерфейсы будут завязываться с номером VLAN на коммутаторе... >причем тут машины пользователей? >суть разделить трафик между интерфейсами на сервере >IPFilter - firewall как никак... должен помочь :) Попробуй так block in quick from 192.168.0.0/16 to 192.168.0.0/16 block out quick from 192.168.0.0/16 to 192.168.0.0/16
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх