форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPFilter и обратное сопоставление или у меня едет крыша"
Сообщение от RaZOR on 15-Окт-03, 14:39  (MSK)
Подскажите, как мне обыграть обратное сопоставление внешнего провайдеровского интерфейса правилами IPFilter? попытался вбить такое правило: block out from 192.168.0.0/16 to !fxp0 не проканало :( требует хост. Использую ipnat: map fxp0 from 192.168.0.0/16 to any -> 111.222.333.444/32 portmap tcp/udp 2000:6000 map fxp0 from 192.168.0.0/16 to any -> 111.222.333.444/32 Пытался указать block out from 192.168.0.0/16 to !111.222.333.444/32 По логам видно, что соединение идет следующим образом: машина 192.168.1.2 (пусть будет просто "комп") обращяется к DNS на этом-же сервере доменом. Сервер бегает в инет, берет ip к тому домену и бежит обратно с ответом. Комп берет ip, и обращяется по нему к внешнему хосту через ipnat. Ipnat пишет, что комп замаскарадил при обращении на внешний ip. Дальше сразу валится сообщение о том, что 192.168.1.2 не получил доступ к внешнему ip, т.к. ipfilter не пустил его к внешнему ip. Т.е. прям по правилу меня и послал. Может у меня что не так работает... не пойму. К сожалению подробностей о том, как должно работать, не знаю :( Смысл всего этого: запретить пользователям из сети 192.168.1.0/24 ходить в сети 192.168.2.0/24, 192.168.3.0/24 и т.д. И конечно наоборот. Т.е. чтобы никто из соседей друг к другу не лазил. Количество сетей постоянно растет и очень не хочется для каждой сети в правилах перечислять все остальные сети, куда ей нельзя... Хелп, люди! на вас вся надежда! P.S. Система FreeBSD 5.1 IPFilter и IPNat те, что идут с осью
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFilter и обратное сопоставление или у меня едет крыша"
Сообщение от co6aka on 15-Окт-03, 15:19  (MSK)
block out from 192.168.0.0/16 !to fxp0 block out from 192.168.0.0/16 !to 111.222.333.444/32
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "IPFilter и обратное сопоставление или у меня едет крыша"
	Сообщение от RaZOR on 15-Окт-03, 15:29  (MSK)
	>block out from 192.168.0.0/16 !to fxp0 >block out from 192.168.0.0/16 !to 111.222.333.444/32 ошибка синтаксиса
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPFilter и обратное сопоставление или у меня едет крыша"
	Сообщение от co6aka on 15-Окт-03, 18:02  (MSK)
	block out on интерфейс from ip !to ip http://www.openbsd.ru/docs/ipf-mini.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPFilter и обратное сопоставление или у меня едет крыша"
	Сообщение от RaZOR on 16-Окт-03, 00:13  (MSK)
	>block out on интерфейс from ip !to ip >http://www.openbsd.ru/docs/ipf-mini.html спасибо за ссылку. замечательный мануал, читал неоднократно... но дело в том, что при загрузке правил синтаксисом отрицается часть "!to" по указанной ссылке нет примера с противосопоставлением элемента правила "to". и еще там четко указано, что знак "!" используется "для обpатного сопостaвления хоста или сети". по правилу: "on interface" мне не подходит. у меня сейчас 4 реальных интерфейса, на одном из которых 6 алиасов, а на другом 4 vlan-а. Количество и того и другого будет расти. мне нужно правилами осуществить запрет общения между сетями для всех сетей и интерфейсов. в iptables под красной шапкой мои коллеги делали это запросто, но под IPFilter у меня что-то вот незаладилось :( люди, неужели только у меня такая потребность??? ну ведь наверняка обычное дело... эх...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "IPFilter и обратное сопоставление или у меня едет крыша"
	Сообщение от poige on 18-Окт-03, 10:47  (MSK)
	[...] >по правилу: >"on interface" мне не подходит. у меня сейчас 4 реальных интерфейса, на >одном из которых 6 алиасов, а на другом 4 vlan-а. Количество >и того и другого будет расти. мне нужно правилами осуществить запрет >общения между сетями для всех сетей и интерфейсов. в iptables под так в чем проблема, коллега? block in from 192.168.0.0/16 to 192.168.0.0/16 здесь нет никакой привязки к интерфейсам, используется лишь тот факт, что все это "приватные" сетки, коммуникации между которыми тебе не нужны. >красной шапкой мои коллеги делали это запросто, но под IPFilter у >меня что-то вот незаладилось :( > >люди, неужели только у меня такая потребность??? ну ведь наверняка обычное дело... >эх... У тебя потребность внимательно изучить ситуацию, включая доки на тех. ср-ва, которые ты используешь. Ибо даже вопрос настолько сумбурный, что дает возможность неоднозначной трактовки. /poige @ morning . ru (mail me to attract my attention here again) -- http://www.i.morning.ru/~poige/
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "IPFilter и обратное сопоставление или у меня едет крыша"
Сообщение от Antonio on 16-Окт-03, 10:50  (MSK)
>Пытался указать block out from 192.168.0.0/16 to !111.222.333.444/32 >Смысл всего этого: запретить пользователям из сети 192.168.1.0/24 ходить в сети 192.168.2.0/24, >192.168.3.0/24 и т.д. И конечно наоборот. Т.е. чтобы никто из соседей >друг к другу не лазил. >Количество сетей постоянно растет и очень не хочется для каждой сети в >правилах перечислять все остальные сети, куда ей нельзя... А если делать нормальным методом? То есть сначала запрещаем вообще все (block in all; block out all), потом приоткрываем (pass out from "подсетка" to "inet") лишь нужные крантики? Не проще ли будет? Чтобы NAT-енные соединения "изнутри" нормально работали, обычно применяют в pass-правилах флаг keep state. P.S. Ох, как давно я не развлекался с PF/IPF... Как в 2001-м настроил файрволл (PF/OpenBSD), так его правила не трогал... ;-)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.