The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SuSEfirewall2 - пара вопросов к гуру"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 27-Авг-11, 11:25 
    1. Как в SuSEfirewall2 можно ограничить канал? Скажем канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.

    2. Есть ли возможность в SuSEfirewall2 открывать порты группам адресов? Скажем надо для 20 IP оставить открытыми все верхние порты, еще для 20 только порты для аськи, десятку открыть 25-й, а остальным только 80-й.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от Aquarius (ok) on 27-Авг-11, 11:41 
>     1. Как в SuSEfirewall2 можно ограничить канал? Скажем
> канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.
>     2. Есть ли возможность в SuSEfirewall2 открывать порты
> группам адресов? Скажем надо для 20 IP оставить открытыми все верхние
> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
> а остальным только 80-й.

2. http://ru.opensuse.org/SuSEfirewall2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 27-Авг-11, 15:05 
>>     1. Как в SuSEfirewall2 можно ограничить канал? Скажем
>> канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.
>>     2. Есть ли возможность в SuSEfirewall2 открывать порты
>> группам адресов? Скажем надо для 20 IP оставить открытыми все верхние
>> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
>> а остальным только 80-й.
> 2. http://ru.opensuse.org/SuSEfirewall2

Я читал это, но интересует можно ли задавать правила сразу на группу в несколько IP, а не описывать для каждого. Слишком нудно прописывать 240 пользователей. IP у пациентов статические.  

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от PavelR (ok) on 27-Авг-11, 15:34 
>>>     1. Как в SuSEfirewall2 можно ограничить канал? Скажем
>>> канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.
>>>     2. Есть ли возможность в SuSEfirewall2 открывать порты
>>> группам адресов? Скажем надо для 20 IP оставить открытыми все верхние
>>> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
>>> а остальным только 80-й.
>> 2. http://ru.opensuse.org/SuSEfirewall2
> Я читал это, но интересует можно ли задавать правила сразу на группу
> в несколько IP, а не описывать для каждого. Слишком нудно прописывать
> 240 пользователей. IP у пациентов статические.

если там чистый айпитейблс, то:
- выделяем отдельные цепочки
- наполняем цепочки правилами скриптом.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 27-Авг-11, 15:58 
>[оверквотинг удален]
>>>> группам адресов? Скажем надо для 20 IP оставить открытыми все верхние
>>>> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
>>>> а остальным только 80-й.
>>> 2. http://ru.opensuse.org/SuSEfirewall2
>> Я читал это, но интересует можно ли задавать правила сразу на группу
>> в несколько IP, а не описывать для каждого. Слишком нудно прописывать
>> 240 пользователей. IP у пациентов статические.
> если там чистый айпитейблс, то:
> - выделяем отдельные цепочки
> - наполняем цепочки правилами скриптом.

Линух предстоит ставить SuSE, а в нем айпитейблс управляется через скрипт SuSEfirewall2.
Во всяком случае сейчас интересует вопрос именно решения данной задачи, а не ее обшод или подмена.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от dimawar (ok) on 28-Авг-11, 10:23 
> Линух предстоит ставить SuSE, а в нем айпитейблс управляется через скрипт SuSEfirewall2.
> Во всяком случае сейчас интересует вопрос именно решения данной задачи, а не
> ее обшод или подмена.

Насчет ограничения скорости не знаю, но остальные задачи решаются в штатном конфиге /etc/sysconfig/SuSEfirewall2 . Там есть комментарии.
Также, SuSEfirewall предоставляет пользователю написать правила iptables в скрипте /etc/sysconfig/scripts/SuSEfirewall2-custom

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 05-Сен-11, 00:27 
> Насчет ограничения скорости не знаю, но остальные задачи решаются в штатном конфиге
> /etc/sysconfig/SuSEfirewall2 . Там есть комментарии.
> Также, SuSEfirewall предоставляет пользователю написать правила iptables в скрипте /etc/sysconfig/scripts/SuSEfirewall2-custom

Блин, я ведь спрашивал не о том где писать, а возможно ли оптимизировать запись правил, чтоб не для каждого IP или всей сетки, а на группу адресов (как в сквиде - с такого-то по такой-то IP).
Пока единственное что пришло на ум, так перевести локалку на класс В и задавать три желаемые правила для 3 сеток класса С и раздавать IP юзерям уже из них.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от dimawar (ok) on 05-Сен-11, 07:19 
> Блин, я ведь спрашивал не о том где писать, а возможно ли
> оптимизировать запись правил, чтоб не для каждого IP или всей сетки,
> а на группу адресов (как в сквиде - с такого-то по
> такой-то IP).

поиск рулит
http://yandex.ru/yandsearch?text=iptables%20%D0�...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 05-Сен-11, 09:56 
> поиск рулит
> http://yandex.ru/yandsearch?text=iptables%20%D0�...

Поиск нифига не нарулил. Да, в iptables можно задавать диапазон, но речь ведь идет конкретно о SuSEfirewall, а в синтанксисе правила FW_MASQ_NETS я такой возможности не нарыл, увы :((


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от dimawar (ok) on 05-Сен-11, 11:33 
> Поиск нифига не нарулил. Да, в iptables можно задавать диапазон, но речь
> ведь идет конкретно о SuSEfirewall, а в синтанксисе правила FW_MASQ_NETS я
> такой возможности не нарыл, увы :((

Также, SuSEfirewall предоставляет пользователю написать правила iptables в скрипте /etc/sysconfig/scripts/SuSEfirewall2-custom

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от okin (ok) on 05-Сен-11, 14:40 
>> Поиск нифига не нарулил. Да, в iptables можно задавать диапазон, но речь
>> ведь идет конкретно о SuSEfirewall, а в синтанксисе правила FW_MASQ_NETS я
>> такой возможности не нарыл, увы :((
> Также, SuSEfirewall предоставляет пользователю написать правила iptables в скрипте /etc/sysconfig/scripts/SuSEfirewall2-custom

Т.е. предлагаете оставить порты для всей сетки, а резать конкретно по IP уже в самом SuSEfirewall2-custom? В fw_custom_before_masq?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

9. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от Дядя_Федор email on 05-Сен-11, 08:41 
> Блин, я ведь спрашивал не о том где писать, а возможно ли
> оптимизировать запись правил, чтоб не для каждого IP или всей сетки,
> а на группу адресов (как в сквиде - с такого-то по
> такой-то IP).

Рановато Вам заниматься настройкой iptables. Вами остались не освоены основы сетевых технологий. Почитайте на досуге, что такое маска сети. Может озарение наступит?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от Дядя_Федор on 05-Сен-11, 15:44 
ЭээХ, молодежь.... Читаем до наступления просветления - http://habrahabr.ru/blogs/sysadm/108691/ Наверняка и на этом сайте есть нечто подобное.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от universite email(ok) on 06-Сен-11, 00:21 
> ЭээХ, молодежь.... Читаем до наступления просветления - http://habrahabr.ru/blogs/sysadm/108691/
> Наверняка и на этом сайте есть нечто подобное.

Пожалуйста, завязывайте с флудом.

Идите на LOR и там попускайте коллег.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от universite email(ok) on 06-Сен-11, 20:30 

Идите, окучивайте аудиторию LOR

Ответить | Правка | Наверх | Cообщить модератору

18. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от AHAHAC (ok) on 06-Сен-11, 03:33 
>     1. Как в SuSEfirewall2 можно ограничить канал? Скажем
> канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.

Фаерволы не занимаются управлением каналами, пропускной способностью и маршрутизацией.
Для этого юзают шейперы и маршрутизаторы.

>     2. Есть ли возможность в SuSEfirewall2 открывать порты
> группам адресов?

Сначала сюда http://www.extra-mir.ru/

Там вам должны рассказать, что

Группы бывают: Непрерывные последовательности, разностные последовательности, например
каждый второй, третий, десятый, два через три, один через пять, х..й через жопу, ...,
последовательности с исключениями, множества простых чисел..., комплексные, квантернионы,...

>Скажем надо для 20 IP оставить открытыми все верхние
> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
> а остальным только 80-й.

Потом, там же вам расскажут, что:

Трафик бывает: Входящий, исходящий и транзитный.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "SuSEfirewall2 - пара вопросов к гуру"  +/
Сообщение от universite email(ok) on 06-Сен-11, 03:43 
>>     1. Как в SuSEfirewall2 можно ограничить канал? Скажем
>> канал 10 Мб/с, а надо, чтоб забирал не больше 8-ми.
> Фаерволы не занимаются управлением каналами, пропускной способностью и маршрутизацией.
> Для этого юзают шейперы и маршрутизаторы.

не поверите. ipfw во FreeBSD и шейпит (pipe) и маршрутизирует (fwd, setfib и probe)

>>Скажем надо для 20 IP оставить открытыми все верхние
>> порты, еще для 20 только порты для аськи, десятку открыть 25-й,
>> а остальным только 80-й.
> Потом, там же вам расскажут, что:
> Трафик бывает: Входящий, исходящий и транзитный.

по источнику - входящий, исходящий
по типу - внутренний, транзитный

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру