непойму чуток, где вставить deny

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Mr Alter Ego
сержант
Сообщения: 238
Зарегистрирован: 2007-07-12 13:06:02
Откуда: Украина
Контактная информация:

непойму чуток, где вставить deny

Непрочитанное сообщение Mr Alter Ego » 2007-12-07 13:19:11

ребят ... ситуация заключается в следующем.

есть набор правил ipfw

Код: Выделить всё

[root@server /var/log]# ipfw show
00050 19468920  1710427359 count ip from any to any in via bge0
00051 30800655 41582071463 count ip from any to any out via bge0
00100        0           0 deny ip from 206.123.100.8 to me
00100    66152     7301956 allow ip from any to any via lo0
00200        0           0 deny ip from me to 206.123.100.8
00200     5062      757117 allow ip from any to 216.32.64.26 dst-port 8443 in via bge0
00201      191       21307 allow ip from any to 216.32.64.26 dst-port 14534 in via bge0
00300     5512     3862926 allow ip from 216.32.64.26 8443 to any out via bge0
00301      213      206059 allow ip from 216.32.64.26 14534 to any out via bge0
00401        0           0 allow tcp from any to any dst-port 20 keep-state
00501     1344       71170 allow tcp from any to any dst-port 21 keep-state
00601 13688053 12598170199 allow tcp from any to any dst-port 49152-65535 keep-state
00701    53054     4785234 allow udp from 216.32.64.26 to 208.67.222.222,208.67.220.220 dst-port 53 keep-state
00801        5         200 allow tcp from any to me dst-port 53 setup
00901    33331     5989573 allow udp from me 53 to any
01001    33332     2349466 allow udp from any to me dst-port 53
01101   147948    90092643 allow tcp from any to 216.32.64.26 dst-port 25 via bge0 keep-state
01201   127273    61251783 allow tcp from any to 216.32.64.26 dst-port 110 via bge0 keep-state
01301   340066    44101611 allow tcp from any to me dst-port 80
01401   411075   484783166 allow tcp from me 80 to any
01501     1095       65700 allow tcp from me to any dst-port 80
01601        5         240 allow tcp from any 80 to me
01701    69727     6328204 allow ip from any to me dst-port 22
01801    63520    14754782 allow ip from me 22 to any
01901 20927511 29034634187 allow ip from me 6890-6999 to any
02001 13833691   901457659 allow ip from any to me dst-port 6890-6999
02101     1263       77766 allow tcp from 216.32.64.26 to any dst-port 25
02201   526295    38744472 deny ip from any to any
65535      451       93228 allow ip from any to any
как вы видите ...
00100 0 0 deny ip from 206.123.100.8 to me
00200 0 0 deny ip from me to 206.123.100.8

ситуация в том, что с этими правилами у меня все нормально работает.
но так сложилось, что 206.123.100.8 рассылаем спам, а я хочу ... заблокировать его не на уровне ... почтового демона, а на уровне ... непосредственно фаервола. чтобы рубало все с этого сервера.

вынаписанные правила 100 и 200 не помогают. то есть ...
мне нужно запретить ВСЕ что касается этого айпи.

так же ... включена опция ... чтобы ... пакеты проходили по всем правилам.
net.inet.ip.fw.one_pass=0

подкскажите, где верно вставить ... правило, чтобы нафик похоронить этот айпи ?

спасибо большое, за внимание

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: непойму чуток, где вставить deny

Непрочитанное сообщение zg » 2007-12-07 16:10:06

00100 0 0 deny ip from 206.123.100.8 to me
00100 66152 7301956 allow ip from any to any via lo0
00200 0 0 deny ip from me to 206.123.100.8
херня какая-то почему allow ip from any to any via lo0 у тебя затесалось между двумя deny?

если хочешь "похоронить"

Код: Выделить всё

ipfw add 10 deny ip from 206.123.100.8 to me via bge0

как я понял bge0 сетёвка с инетом?

Аватара пользователя
Mr Alter Ego
сержант
Сообщения: 238
Зарегистрирован: 2007-07-12 13:06:02
Откуда: Украина
Контактная информация:

Re: непойму чуток, где вставить deny

Непрочитанное сообщение Mr Alter Ego » 2007-12-07 16:58:07

zg писал(а):
00100 0 0 deny ip from 206.123.100.8 to me
00100 66152 7301956 allow ip from any to any via lo0
00200 0 0 deny ip from me to 206.123.100.8
херня какая-то почему allow ip from any to any via lo0 у тебя затесалось между двумя deny?

если хочешь "похоронить"

Код: Выделить всё

ipfw add 10 deny ip from 206.123.100.8 to me via bge0

как я понял bge0 сетёвка с инетом?
непойму разницу между
ipfw add 10 deny ip from 206.123.100.8 to me via bge0
и
00100 0 0 deny ip from 206.123.100.8 to me

сетьевая карта всего одна. ... да это она
Best Regards

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: непойму чуток, где вставить deny

Непрочитанное сообщение zg » 2007-12-07 17:04:33

Dj Alter Ego писал(а):непойму разницу между
ipfw add 10 deny ip from 206.123.100.8 to me via bge0
и
00100 0 0 deny ip from 206.123.100.8 to me
порядок правил имеет значение, чем выше правило, тем оно приоритетней
Dj Alter Ego писал(а):сетьевая карта всего одна. ... да это она
тогда её можно не указывать :)

Аватара пользователя
Mr Alter Ego
сержант
Сообщения: 238
Зарегистрирован: 2007-07-12 13:06:02
Откуда: Украина
Контактная информация:

Re: непойму чуток, где вставить deny

Непрочитанное сообщение Mr Alter Ego » 2007-12-08 12:43:43

zg писал(а):
Dj Alter Ego писал(а):непойму разницу между
ipfw add 10 deny ip from 206.123.100.8 to me via bge0
и
00100 0 0 deny ip from 206.123.100.8 to me
порядок правил имеет значение, чем выше правило, тем оно приоритетней
Dj Alter Ego писал(а):сетьевая карта всего одна. ... да это она
тогда её можно не указывать :)

блин а как же получилось тогда, что ... - оно стоит в первых ... а письмо пришло. ладно .. буду разбираться.

мне кажется здесь играет свою роль
net.inet.ip.fw.one_pass=0
после того, как пакет попадает в правило дени, он продолжает идти по остальным ... не вываливается ...
Best Regards