The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw маршрутизация"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 15:43 
Дико извеняюсь если не там темуц создал, но все таки спрошу... с фрей дружу немного настроил только маршрутизацию. У меня вопрос - как сделать так, что бы трафик раздавался не по всей сети и любому IP адресу, а только на конкретные.
вот что у меня прописанно
laden# ipfw show
00010   19697    2299296 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00020 3795331  279666903 divert 8668 ip from 192.168.0.0/24 to any
00030 2611894 2864961477 divert 8668 ip from any to 85.198.105.254
00040 4522172 4957896054 allow ip from any to 192.168.0.2
00050 1527353  104136517 allow ip from 192.168.0.2 to any
00060  187311  167245138 allow ip from any to 192.168.0.3
00070   83323   13107802 allow ip from 192.168.0.3 to any
10000 2699313  766382791 allow ip from any to any
65535      21       2076 allow ip from any to any

что еще дописать??? Заранее спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 27-Май-08, 15:48 
в 00020 и 00030 добавить указание направления (вход выход) и интерфейс
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 15:53 
>в 00020 и 00030 добавить указание направления (вход выход) и интерфейс

эм... в смысле? я просто пока плохо разбераюсь)) можно обозвать чайником))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 27-Май-08, 16:44 
правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 16:46 
>правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить
>запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.

то есть прописать 35-ым add deny ip from 192.168.0.0/24 to 192.168.0.0/24
я тебя правильно понял?))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 27-Май-08, 16:54 
>>правила 40, 50, 60, 70, 10000 && 65535 только разрешают. Нужно добавить
>>запрещающие правила. Нужно добавить определение направлений движения пакетов в файрволле.
>
>то есть прописать 35-ым add deny ip from 192.168.0.0/24 to 192.168.0.0/24
>я тебя правильно понял?))

нет.

add deny ip from any to 192.168.0.0/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 16:58 
попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 27-Май-08, 17:03 
>попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках

помоему вам нужно обратиться к документации. На сегодня учебные часы окончены.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 17:12 
Ладно, все рано спасибо, буду пробовать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "ipfw маршрутизация"  
Сообщение от mixa (??) on 27-Май-08, 17:58 
>[оверквотинг удален]
>00040 4522172 4957896054 allow ip from any to 192.168.0.2
>00050 1527353  104136517 allow ip from 192.168.0.2 to any
>00060  187311  167245138 allow ip from any to 192.168.0.3
>00070   83323   13107802 allow ip from 192.168.0.3 to
>any
>10000 2699313  766382791 allow ip from any to any
>65535      21      
> 2076 allow ip from any to any
>
>что еще дописать??? Заранее спасибо

Если предположим ваш внешний интерфейс rl0 то тогда так

# Натим и дивертим через внешний IP и интерфейс rl0
100 divert 8668 ip from 192.168.0.0/24 to any via rl0
110 divert 8668 ip from any to 85.198.105.254 via rl0
# Разрешаем инет кому надо
200 allow ip from any to 192.168.0.2/24,192.168.0.3/24
210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any
# Разрешаем локалку
300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
# Запрещаем всем остальным
400 deny ip from 192.168.0.0/24 to any

Это тот минимум что нужно
Правили 100 и 110 можно объединить в одно
100 divert 8668 ip from any to any via rl0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "ipfw маршрутизация"  
Сообщение от laden email(ok) on 27-Май-08, 18:02 
>[оверквотинг удален]
># Разрешаем инет кому надо
>200 allow ip from any to 192.168.0.2/24,192.168.0.3/24
>210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any
># Разрешаем локалку
>300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
># Запрещаем всем остальным
>400 deny ip from 192.168.0.0/24 to any
>Это тот минимум что нужно
>Правили 100 и 110 можно объединить в одно
>
100 divert 8668 ip from any to any via rl0

Вааа!!! Огромное спасибо!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "ipfw маршрутизация"  
Сообщение от mixa (??) on 27-Май-08, 18:03 
ОписАлся в предыдущем ))
В правилах 200 и 210 разумеется вместо /24 читать надо /32
# Натим и дивертим через внешний IP и интерфейс rl0 
100 divert 8668 ip from 192.168.0.0/24 to any via rl0
110 divert 8668 ip from any to 85.198.105.254 via rl0
# Разрешаем инет кому надо
200 allow ip from any to 192.168.0.2/32,192.168.0.3/32
210 allow ip from 192.168.0.2/32,192.168.0.3/32 to any
# Разрешаем локалку
300 allow ip from 192.168.0.0/24 to 192.168.0.0/24
# Запрещаем всем остальным
400 deny ip from 192.168.0.0/24 to any

Это тот минимум что нужно
Правили 100 и 110 можно объединить в одно
100 divert 8668 ip from any to any via rl0


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 27-Май-08, 19:23 

>Правили 100 и 110 можно объединить в одно
>
100 divert 8668 ip from any to any via rl0

Можно, но не всегда это является нужным и правильным. Иногда (даже более того, в большинстве случаев) _нужно_ делать фильтрацию _до_ диверта:

например:

50 drop all from <серые сети> in via <реальный интерфейс>
60 drop all from any to <мои серые сети> in via <реальный интерфейс>

__ диверт __


Это повысит безопасность локалки..


Рекомендую обратиться к rc.firewall как к первоисточнику.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "ipfw маршрутизация"  
Сообщение от mixa (??) on 27-Май-08, 21:22 
>[оверквотинг удален]
>50 drop all from <серые сети> in via <реальный интерфейс>
>60 drop all from any to <мои серые сети> in via <реальный интерфейс>
>
>__ диверт __
>
>
>Это повысит безопасность локалки..
>
>
>Рекомендую обратиться к rc.firewall как к первоисточнику.

Абсолютно с этим согласен.
Ну что на это можно сказать?!
Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы не включать!
Ну а так, я и говорю, что привиденные мною првила - это минимум.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "ipfw маршрутизация"  
Сообщение от PavelR (??) on 28-Май-08, 06:43 
>[оверквотинг удален]
>>
>>Это повысит безопасность локалки..
>>
>>
>>Рекомендую обратиться к rc.firewall как к первоисточнику.
>
>Абсолютно с этим согласен.
>Ну что на это можно сказать?!
>Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы
>не включать!

теоретик, блин. я говорю _про безопасность_.

>Ну а так, я и говорю, что привиденные мною првила - это
>минимум.

Рекомендую обратиться к rc.firewall как к первоисточнику, вкурить его до потери сознания и до получения ясного мышления.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру