The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Большой список правил для ipfw, хелп"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Большой список правил для ipfw, хелп"  
Сообщение от Alex (??) on 31-Мрт-06, 04:21 
Проблема следующего плана. Есть список российских ip-сетей, необходимо закрыть все остальное кроме них, но строк получается несколько тысяч, в итоге вероятно это скажется на загрузке OS, как выйти из ситуации? В смысле оптимально реализовать эту идею. Тоже и касается и для linux-оидных фильтров.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Большой список правил для ipfw, хелп"  
Сообщение от йцукен on 31-Мрт-06, 15:39 
>Проблема следующего плана. Есть список российских ip-сетей, необходимо закрыть все остальное кроме
>них, но строк получается несколько тысяч, в итоге вероятно это скажется
>на загрузке OS, как выйти из ситуации? В смысле оптимально реализовать
>эту идею. Тоже и касается и для linux-оидных фильтров.


Это только для FreeBSD 5.x и выше, для 4.х прийдется каждую сеть вбивать отдельно, по крайней мере мне так и не удалось реализовать это в 4.11
#!/bin/sh -
...
runet="x.x.x.x/m,x.x.x.x/m,...,x.x.x.x/m"
# тут список конечно будет не маленький, но всеже мне кажется что не пару тысяч строк, хотя могу и ошибаться
mynet="y.y.y.y/m"
...
ipfw add drop all from not ${runet} to any in via fxp0
...

если не принципиально на чем делать, посмотри в сторону pf от OpenBSD
...
table <runet> persist file "/etc/runet"
# в /etc/runet вписать все русские сети
...
block in on fxp0 from not <runet> to any
...

успехов!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Большой список правил для ipfw, хелп"  
Сообщение от AlexVS email(??) on 31-Мрт-06, 18:23 
Можно посмотреть в сторону ipfw 2 (table).
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Большой список правил для ipfw, хелп"  
Сообщение от Tux email(??) on 16-Апр-06, 04:54 
>Можно посмотреть в сторону ipfw 2 (table).

Вопрос как 2 пальца, как установить (запустить) ipfw2,
да и только у меня в FreeBSD 5.4 config kernel'a не понимает options ICMP_BANDLIM и options RST_RESTRICT...???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Большой список правил для ipfw, хелп"  
Сообщение от worm email(ok) on 25-Апр-06, 14:24 
>>Проблема следующего плана. Есть список российских ip-сетей, необходимо закрыть все остальное кроме
>>них, но строк получается несколько тысяч, в итоге вероятно это скажется
>>на загрузке OS, как выйти из ситуации? В смысле оптимально реализовать
>>эту идею. Тоже и касается и для linux-оидных фильтров.
>
>
>Это только для FreeBSD 5.x и выше, для 4.х прийдется каждую сеть
>вбивать отдельно, по крайней мере мне так и не удалось реализовать
>это в 4.11
>#!/bin/sh -
>...
>runet="x.x.x.x/m,x.x.x.x/m,...,x.x.x.x/m"
># тут список конечно будет не маленький, но всеже мне кажется что
>не пару тысяч строк, хотя могу и ошибаться
>mynet="y.y.y.y/m"
>...
>ipfw add drop all from not ${runet} to any in via fxp0
>
>...
>
>если не принципиально на чем делать, посмотри в сторону pf от OpenBSD
>
>...
>table <runet> persist file "/etc/runet"
># в /etc/runet вписать все русские сети
>...
>block in on fxp0 from not <runet> to any
>...
>
>успехов!
А не проще ли это организовать при помощи vlan'ов + bgp и дальше уже в ход пускать ipfw/pf?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Большой список правил для ipfw, хелп"  
Сообщение от vt (ok) on 02-Апр-06, 23:37 
>Проблема следующего плана. Есть список российских ip-сетей, необходимо закрыть все остальное кроме
>них, но строк получается несколько тысяч, в итоге вероятно это скажется
>на загрузке OS, как выйти из ситуации? В смысле оптимально реализовать
>эту идею. Тоже и касается и для linux-оидных фильтров.

В "linux-оидных фильтрах" можно делать не простой перебор тысяч условий,
а иерархические структуры условий

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Большой список правил для ipfw, хелп"  
Сообщение от EL (??) on 16-Апр-06, 22:36 
>>Проблема следующего плана. Есть список российских ip-сетей, необходимо закрыть все остальное кроме
>>них, но строк получается несколько тысяч, в итоге вероятно это скажется
>>на загрузке OS, как выйти из ситуации? В смысле оптимально реализовать
>>эту идею. Тоже и касается и для linux-оидных фильтров.
>
>В "linux-оидных фильтрах" можно делать не простой перебор тысяч условий,
>а иерархические структуры условий

Ага какая уж тут иерархия - тупые номера сетей.
Для начала можно попробовать уменьшить список агрегированием по маске или взять список сетей у провайдера (которые он считает российскими), не думаю что он будет в несколько тысячь.
Ну и если уж действительно есть такая необходимость то засовывать то что получиться в правила фильтрации (лучше ИМХО в таблицы pf)
А вообще такие вещи делаються совсем другими средствами

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру