форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"pf - обозначить подсеть за исключением одного адреса"

Сообщение от tungus (??) on 02-Апр-08, 22:52

Есть две подсети - 192.168.1.0/24 и 192.168.2.0/24. В подсети 192.168.2.0 есть некоторый хост 192.168.2.20 Нужно разрешить весь трафик между подсетями за исключением трафика на хост 192.168.2.0 - для этого хоста будут свои правила. Т. е. нужно записать что-то вроде block all pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , 192.168.2.0/24 } pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } to 192.168.1.0/24 # Ниже правила для 192.168.2.20 pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep state ....... Но естественно так не будет работать.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "pf - обозначить подсеть за исключением одного адреса"

Сообщение от Vaso_Petrovich on 03-Апр-08, 09:12

>block all ># Ниже правила для 192.168.2.20 >pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep >pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , >192.168.2.0/24 } >pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } >to 192.168.1.0/24 >state >....... >Но естественно так не будет работать. по логике так должно работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "pf - обозначить подсеть за исключением одного адреса"
	Сообщение от tungus (??) on 03-Апр-08, 11:44
	>[оверквотинг удален] >>pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep >>pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , >>192.168.2.0/24 } >>pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } >>to 192.168.1.0/24 >>state >>....... >>Но естественно так не будет работать. > >по логике так должно работать... Не работает потому что распишется как pass quick on $int_if inet from 192.168.1.0/24 to ! 192.168.2.20 pass quick on $int_if inet from 192.168.1.0/24 to 192.168.2.0/24 pass quick on $int_if inet from ! 192.168.2.20 to 192.168.1.0/24 pass quick on $int_if inet from 192.168.2.0/24 to 192.168.1.0/24 Т. е. трафик c/на 192.168.2.20 будет пропускаться вторым и четвертым правилом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "pf - обозначить подсеть за исключением одного адреса"

Сообщение от kls (ok) on 15-Апр-08, 14:37

а если так попробовать? >block all #здесь правила для 192.168.2.20 (обязательно с quick) block quick on $int_if inet from 192.168.1.0/24 to 192.168.2.20 pass quick on $int_if inet from 192.168.1.0/24 to { 192.168.2.0/24 } block quick on $int_if inet from 192.168.2.20 to 192.168.1.0/24 pass quick on $int_if inet from { 192.168.2.0/24 } to 192.168.1.0/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "pf - обозначить подсеть за исключением одного адреса"

Сообщение от shutdown now on 06-Май-08, 02:54

>[оверквотинг удален] >pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , >192.168.2.0/24 } >pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } >to 192.168.1.0/24 ># Ниже правила для 192.168.2.20 >pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep >state >....... > >Но естественно так не будет работать. сделай таблицу: table net2_20 {!192.168.2.20 192.168.2.0/24 } pass quick on $int_if inet from 192.168.1.0/24 to <net2_20> pass quick on $int_if inet from <net2_20> to 192.168.1.0/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]