IPFW+TABLE! HELP!!!

[harmless]

Доброе время суток!
Вот стала передо мной такая задача:
чтобы не засорять файл-скрипт правил фаерволла решил перенести все таблицы в отдельные файлы(table 1>>/etc/tables/1, ......)
но соткнулся вот с такой проблемой:
как заставить фаейволл читать айпи из файлов????
тобиш чтобы при вызове

Код: Выделить всё

ipfw table 1 add (тут не вводить кучу айпи, а написать путь к файлу /etc/tables/1 ...)

помогите плз

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

Код: Выделить всё

for i in ..........

[abanamat]

Код: Выделить всё

for i in `grep "^[1-9]" ipps.txt`
do
    ipfw -q table 1 add ${i}
done

[harmless]

огромное спасибо!

[harmless]

Вообщето не сов сем понял что оно делает!

[harmless]

Все разобралсо!
Всем спс

[Battary]

Подскажите пожалуста , я на фрии недвно ешё новичек.
Какое надо писать правило что бы включить фильтрацию на 22 порт по ip

[paradox]

вам полностью закрыть что бы и сами по ssh незашли?

[battery]

вам полностью закрыть что бы и сами по ssh незашли?

Разрешить к примеру толко для ip 10.0.0.1

[paradox]

вы щас физически на сервере или по ssh ?

[Battery]

вы щас физически на сервере или по ssh ?

И так и так

[paradox]

Код: Выделить всё

ipfw add начало_нум pass tcp from нужный_ip to ваш_ip 22
ipfw add начало_нум deny tcp from any to  ваш_ip 22 in

как то так

[battery]

Код: Выделить всё

ipfw add начало_нум pass tcp from нужный_ip to ваш_ip 22
ipfw add начало_нум deny tcp from any to  ваш_ip 22 in

как то так

Прошу меня простить что значит "начало_нум"

[paradox]

Код: Выделить всё

#ipfw show

начало_нум это номер правила где то в начала
при это не забудте что где то у вас потом ниже должен быть ipfw add гдето_нум pass all from any to any


вообще фаер лучще учить
там в двух командах не обяснишь всю логику

[battery]

Код: Выделить всё

#ipfw show

начало_нум это номер правила где то в начала
при это не забудте что где то у вас потом ниже должен быть ipfw add гдето_нум pass all from any to any


вообще фаер лучще учить
там в двух командах не обяснишь всю логику

спасибо большое за помощь

[manefesto]

на вот почитай http://www.lissyara.su/?id=1127

[dimidrol80]

маленький вопрос по теме как для команды (ipfw table 1 ip_адрес ) указать диапазон адресов например 10.0.0.20-10.0.0.127 ети адреса зарезервированы для пользователей

[zingel]

есть такая штука, CIDR называется...

http://admin.vlady.ru/cidr.htm

нужные под маску и укажите...

[dimidrol80]

возможно меня не правильно поняли я про то что у меня есть сеть класа А 10.0.0.0 маска подсети 255.255.255.0 или /24 кому как удобнее я хочю в добавить в IPFW TABLE 1 всех пользователей которым DHCP сервер раздает адреса с 10.0.0.20 по 10.0.0.127 остальные адреса от 10.0.0.1 до 10.0.0.20 и 10.0.0.128-254 используются серверами, админами и руководством которые в ограничении не нуждаются поетому вопрос как задать етот диапазон в ipfw table №1 посредством CIDR я не уверен так как если я указываю к примеру 10.0.0.20/25 то диапазон адресов будет от 10.0.0.1 до 10.0.0.126 адреса 1-20 мне не надо ограничевать?
PS. DHCP на винде он же контролер домена Фря выступает в роли шлюза и прокси сервера включена поддержка NAT

[zingel]

http://osdir.com/ml/freebsd.devel.ipfw/ ... 00019.html

[dimidrol80]

Код: Выделить всё

${FwCMD} add 2 pipe 1 ip from table\(1\) to any in via ${LanIn}
${FwCMD} pipe 1 config mask src-ip 0xffffff00 bw 64kbit/s 
${FwCMD} add 2 pipe 2 ip from table\(2\) to any in via ${LanIn}
${FwCMD} pipe 2 config mask src-ip 0xffffff00 bw 10mbit/s 
${FwCMD} add 2 pipe 3 ip from any to table\(1\) in 
${FwCMD} pipe 3 config mask dst-ip 0xffffff00 bw 64kbit/s 

вручную заносить в табле 1 107 ip адресов?

Код: Выделить всё

${FwCMD} table 1 add 10.0.0.20
......................................
${FwCMD} table 1 add 10.0.0.127

или можна сделать чтото вида

for i in `grep "^[1-9]" ipps.txt`do ipfw -q table 1 add ${i}done

или так токо для ipfw table (извиняюсь в скриптах не силен)
# запускаем счётчик
i=4
# цикл по $i
while [ $i != 252 ]
do
# добавляем трубу для IP адреса
${FwCMD} add pipe $i ip from not ${NetIn}/${NetMask} to 192.168.20.${i}
# проверяем - часом не мой ли это IP
if [ $i -eq 13 -o $i -eq 22 ]
then
# мой инет ))
${FwCMD} pipe $i config bw 100Mbit/s
else
# не мой IP - режем скорость
${FwCMD} pipe $i config bw 64000 bit/s
fi
# увеличиваем $i на единичку
i=$(($i+1))
done
пожалеста обясните как ето сделать

[Rita]

вам полностью закрыть что бы и сами по ssh незашли?

Разрешить к примеру толко для ip 10.0.0.1

Код: Выделить всё

${fw} add allow tcp from 10.0.0.1 to me 22 via vlan10 #здесь нужно указать ваш интерфейс
${fw} add deny all from any to me

2dimidrol
Что-то понагородили здесь, ужас, какие то скрипты . Проще надо жить граждане.Надо записать всего 4 подсети ему :

10.0.0.20/30
10.0.0.24/29
10.0.0.32/27
10.0.0.64/26

И все! И будет тебе счастье от с 10.0.0.20 по 10.0.0.127

п.с.
dimidrol научитесь пользоваться яндексом, на краний случай, и поищи калькулятор для вычисления масок, гарантирую, жизнь станет проще.

[paradox]

а ipcalc в портах для кого

[Rita]

а ipcalc в портах для кого

Для особенных.
А, например, для виндовых серверов как высчитать маску? Лезть на соседнюю машину с бсд? Проще калькулятор открыть у себя на рабочей. Уверена что у большинства здесь рабочие виндовые машины.

[zingel]

у большинства здесь рабочие виндовые машины.

Код: Выделить всё

[root@zingel /]# date && uname -a; ls /usr/home/beastie/.xinitrc
Mon Jul  7 16:46:02 EEST 2008
FreeBSD zingel.dubki.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Wed Apr 23 22:39:55 EEST 2008     root@zingel.dubki.ru:/usr/obj/usr/src/sys/BEASTIE  i386
/usr/home/beastie/.xinitrc