Pukite BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет, коллеги!   Имеем сервер с ип адресом a.b.c.сервер и компьютер-клиент с ип адресом a.b.c.клиент - необходимо, чтобы к 21-му порту мог подключаться только компьютер клиент.   ipfw add 400 reset tcp from any to a.b.c.сервер 21 in via rl0 ipfw add 410 allow tcp from a.b.c.клиент to a.b.c.сервер 21 in via rl0   К сожалению, не работает - что делаю не так?       ipfw - файервол FreeBSD (постим полезную информацию) Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER) Настройка FireWall (ipfw) в FreeBSD Пара готовых примеров Подробный пример с коментами http://www.bsdportal.ru/kb.php?mode=article&k=76 - Настройка ipfw для шлюза под управлением FreeBSD http://www.asmodeus.com.ua/library/os/freebsd/ipfw.htm man ipfw на русском     Отдельно обсуждается: FreeBSD + ipfw + port mapping IPFW + Squid + перенаправление трафика ipfw rules не сохраняются после reboot-a PING - как корректно запретить (FreeBSD+ipfw) FreeBSD 4.8 + DNS + ipfw + named.conf = режем   трафик FreeBSD + bridge + pppoe + ipfw Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 16:25 30-06-2003 | Исправлено: allein, 16:40 21-01-2009

Thomas78 Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору вопрос такой: хочу сделать например так, есть сеть 192.168.0.0 - 255 нужно разрешить всё от 192.168.0.0 до 120 и всё запретить от 120 до 255, как? add allow any from ? to server add allow any from server to ?   add deny any from ? to server add deny any from server to ? Всего записей: 578 | Зарегистр. 07-02-2002 | Отправлено: 10:40 21-10-2004

HighTower Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору народ, знатоки!!!   как фильтровать форвордовый трафик?   есть 2 реальных ип, чтобы они одновременно работали, второй форвордится так:   ipfw add fwd 193.x.x.177 ip from 193.x.x.176/28 to not 193.x.x.176/28   однако это правило реально разрешаеьт ВСЁ как на вход, так и на выход...   если ПОСЛЕ этого правила вписать: ipfw add allow all from 193.x.x.176/28 to any   ipfw add allow all from any to 193.x.x.176/28 established     то они не отрабатывают почемуто, а если их вписать ДО, то форвард не пашет...   чего посоветуете? ---------- Бог у всех один, провайдеры - разные. Всего записей: 998 | Зарегистр. 09-08-2001 | Отправлено: 14:28 28-10-2004

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть сервер - шлюз в инет на Фре 4.9 . Стоит сквид на порт 3128 .  Чел , который его ставил на каждой из клиентских машин прописывал в прокси в броузере, дабы  сквид им на ввв регулировал скорость.  Мне терзают смутные сомнения ,   что можно завернуть на ИПФВ все запросы из внутреннего интерфейса скажем xl0 на порт 3128 , этим самым отрегулировав скорость и если влючено кэширование на сквиде , проверить кэш.  Как это правильно оформить правилами ? Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 17:00 03-11-2004

Richman Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток, проблема в следующем требуется поднять ipfw+nat+utm4billing. Система Free BSD 5.2.1 Сейчас вопрос конкретно по сабжу. Я никак настроить ipfw немогу он игнорирует мои правила из /etc/rc.firewall и подефолту сбрасывает на 65535 deny ip from any to any, естественно при таких раскладах никто никого не находит. Все настривалось но мануалу от utm4   вот мой rc.conf: -  права 644   firewall_enable="YES" firewall_script="/etc/rc.firewall" natd_enable="YES" natd_interface="rl0" gateway_enable="YES" inetd_enable="YES" linux_enable="YES" sendmail_enable="YES" sshd_enable="YES" usbd_enable="YES"   # -- sysinstall generated deltas -- # Mon Nov  1 23:03:31 2004 ifconfig_xl0="inet 192.168.0.100  netmask 255.255.255.0" ipv6_enable="YES"   ifconfig_rl0="inet 192.168.1.100 netmask 255.255.255.0" defaultrouter="192.168.1.1" hostname="vault.sumy.ua"   а вот мой rc.firewall: прва 755     ipfw='/sbin/ipfw -q'   ${ipfw} -f flush ${ipfw} add 50  divert natd all from any to any via rl0 ${ipfw} add 100 allow ip any to me ${ipfw} add 200 allow ip from me to any     Где грабля? а то уже сам недели мучаюсь, и других в корень достал, ничего поделать не можем, уже и раком ставили, и боков, а оно нивкакую.   P.S. ручками вдалбливаю ipfw add 1 allow ip rom any to any и все. правило успешно добавляетя. Всего записей: 100 | Зарегистр. 27-04-2004 | Отправлено: 03:49 30-11-2004

IntenT Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: ${ipfw} add 100 allow ip any to me   в этой строке ошибка надо   ${ipfw} add 100 allow ip from any to me Всего записей: 1584 | Зарегистр. 16-12-2001 | Отправлено: 23:35 09-01-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Доброго времени суток! Я уже месяц пытаюсь настроить ИПФВ, мануалами запасся по самые немогу. Включая здешнюю ссылку на настрой ИПФВ.  Пока у меня ровно нихренашеньки не выходит, и злой как чертяка. Я ДО СИХ ПОР  не могу понять почему к примеру если мы описываем ДНС лукап, то мы пишем: uports="1025-65535" ext_if=наружный интерф ext_ip=наруж айп int_net=внурт сеть цитата из здешнего  мануала ---- ${ipfw} add allow udp from $ext_ip $uports to any domain out xmit $ext_if   ${ipfw} add allow udp from any domain to $ext_ip $uports in recv $ext_if   ${ipfw} add allow udp from any domain to $int_net $uports in recv $ext_if ------ Во  - первых почему используются порты 1025 - 65535 если мы говорим про днс? Хотя тут я где то догадываюсь, что идет рахговор про ответ днс сервера который он пошлет по любому порту который ""первый подруку попадет". Во 2ых почему мы на выход разрешаем тока на наружном интерфейсе а на вход  на обоих?   Почему не нужно разрешить на выход еще на внутреннем, ведь запрос днс шлют внутренние компы? Поячсните мне плиз хотя бы это , а тогда я уже буду остальные вопры задавть. Ато пока все что у меня вышло это содрать чужой скрипт из нета и повесить его у себя, но я хочу понять КАК оно все фунциклирует. Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 14:42 16-01-2005

STEEL Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помогите пожалуйста разобраться. Пытаюсь настроить NAT.   192.168.0.10 - (адрес машины, на которой стоит freebsd) 192.168.1.10 - алиас этой же машины 192.168.0.100 - роутер(шлюз в интернет)   192.168.1.* - раздаю клиентам   В настройках у клиентов в WINXP прописываю адрес допустим 192.168.1.1, шлюз 192.168.1.10, маску 255.255.255.0, днс провайдера a.b.c.   Ничего не происходит. Вот конфиги... FreeBSD 4.6.2 - но это не играет никакой роли. #vi /etc/rc.conf   ifconfig_rl0="192.168.0.10 netmask 255.255.255.0" ifconfig_rl0_alias0="inet 192.168.1.10 netmask 255.255.255.0" defaultrouter="192.168.0.100" gateway_enable="YES" ipnat_enable="YES" ipfilter_enable="YES" ipnat_rules="/etc/ipnat.rules" ipfilter_rules="/etc/ipf.rules" kern_securelevel_enable="NO" nfs_reserved_port_only="YES" sshd_enable="YES" usbd_enable="YES" ~   #vi /etc/ipnat.rules map rl0 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp map rl0 192.168.1.0/24 -> 192.168.0.10/32 portmap tcp/udp 20001:40000 map rl0 192.168.1.0/24 -> 192.168.0.10/32 ~     #vi /etc/ipf.rules pass in quick on lo0 all pass out quick on lo0 all pass in quick on rl0 all pass out quick on rl0 all ~     # ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 192.168.0.10 netmask 0xffffff00 broadcast 192.168.0.255         inet6 fe80::280:48ff:fe33:b151%rl0 prefixlen 64 scopeid 0x1         inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255         ether 00:80:48:33:b1:51         media: Ethernet autoselect (100baseTX <full-duplex>)         status: active lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500 sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552 faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet6 ::1 prefixlen 128         inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5         inet 127.0.0.1 netmask 0xff000000 ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500   #ipfw show 65535 1194984 58170216 allow ip from any to any ~ Всего записей: 2293 | Зарегистр. 06-01-2002 | Отправлено: 00:42 31-01-2005

Pukite BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AFAIK, фря не будет роутить на виртуальном интерфейсе, нужны 2 реальных карточки... Всего записей: 1731 | Зарегистр. 21-09-2002 | Отправлено: 00:47 31-01-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я вообще понять немогу откуда инету вяться то , если есть всего одна реальная сетевуха которая включена в локал. Откуда же  МИР приходит? Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 14:53 31-01-2005

Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ptrovich Цитата: Откуда же  МИР приходит?   Видимо мир приходит от Цитата: 192.168.0.100 - роутер(шлюз в интернет)   А NAT работать не должен по идее, т.к. у тебя сеть которую нужно натить, висит на той же сетевухе, от адреса которой нужно натить. Поставь вторую сетевуху, для сети 192.168.1. тогда должно заработать Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 15:04 31-01-2005

STEEL Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Какой мне IP назначить сетевой карте(192.168.0.2), которая подключена к роутеру? У роутера будет 192.168.0.100 А сетевой карте, что подключена к свитчу дадим 192.168.1.1, а клиентам 192.168.1.2 и т.п. Что-нибудь в ipnat.rules изменить? Всего записей: 2293 | Зарегистр. 06-01-2002 | Отправлено: 21:17 02-02-2005 | Исправлено: STEEL, 21:37 02-02-2005

Loafer Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору кто в курсе   sysctl net.inet.ip.forwarding=0 сохранится ли этот запрет после перегрузки машинки под free? проверить не могу   и еще   как запретить прохождение пакетов по traceroute или tracert ? ---------- Никнейм зарегистрирован Всего записей: 6457 | Зарегистр. 09-12-2001 | Отправлено: 14:55 19-02-2005 | Исправлено: Loafer, 15:05 19-02-2005

Demetrio uid=0 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Loafer Нет, не сохранится   # echo net.inet.ip.forwarding=0 >> /etc/sysctl.conf   Добавлено: Цитата: как запретить прохождение пакетов по traceroute или tracert ? Самое простое - так:   deny log icmp from any to any in via $pif   Можно выборочно для разных типов ICMP   Добавлено: Можно ещё в ядро засунуть фичи типа options IPSTEALTH     http://www.onlamp.com/pub/a/bsd/2001/04/04/FreeBSD_Basics.html Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 14:58 19-02-2005

Loafer Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Demetrio сенкую... и еще подскажи тогда почему правило deny icmp from any to any не работает ? ---------- Никнейм зарегистрирован Всего записей: 6457 | Зарегистр. 09-12-2001 | Отправлено: 15:18 19-02-2005 | Исправлено: Loafer, 15:20 19-02-2005

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FreeBSD + ipfw rules

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование