1.1, Sergey_A (??), 14:00, 04/10/2004 [ответить]
| +/– |
---------
Подразумевается, что вы знакомы с принципом работы стека TCP/IP, а так же прочитали man ipfw
---------
Если человек прочитал ман по ipfw, то ему эта статья и даром не нужна.
-----------
Но и эточ можно обойти, потому что в коде IPFIREWALL-a есть маленькая хитрость: если в правиле для upd пакета указать src-ip как 0.0.0.0., то src-port в этом случае будет играть роль номера протокола Ethernet.
-----------
Серьёзно ??? А автор статьи патылся это сделать ?
Я конечно могу и ошибаться, но это правило дааааавно уже не работает (сейчас пользую ipfw2, но кажется и в ipfw1 пробывал такое сделать - не вышло). Для работы arp/rarp (ну, если вы захотели вдруг сделать бридж) в ipfw2 нужно следующее правило:
add 0100 allow all from any to any layer2 mac-type arp | |
|
2.3, butcher (?), 16:24, 04/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
> Серьёзно ??? А автор статьи патылся это сделать ?
Помоему, FreeBSD 4.4 была последней, в которой это ещё работало, в 4.7 по крайней мере уже не было :) | |
|
1.2, bsdportal.ru (?), 14:18, 04/10/2004 [ответить]
| +/– |
>Sergey_A
Предлагаю Вам написать небольшое руководство по настройке ipfw2, думаю многим пригодиться. | |
|
2.4, Аноним (4), 17:31, 04/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
а в pf опеновском можно рулить не ip пакетами? извените но только с ним работать начал, ничего незнаю:) спасибо. | |
|
3.6, bsdportal.ru (?), 17:32, 05/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
а человек вот не поленился, написал
ты б лучше грамотно скоректировал
а я дополнения твои внесу
ругать несложно :)
| |
|
|
1.7, Аноним (4), 15:20, 07/10/2004 [ответить]
| +/– |
${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established
${ipfw} add allow tcp from any $for_vip to $vip_net $uports in recv $ext_if established
${ipfw} add allow tcp from any $for_rout to $ext_ip $uports in recv $ext_if established
Как я понял, отсылаь пакеты могут все, а принимать только разрешённые для них, не проще ли сразу каждому проставить разрешённые пакеты на отправку ?
А не проще ли срузц проверять, | |
|