Создать IPFW правило?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Создать IPFW правило?

Непрочитанное сообщение 100matolog » 2009-07-23 18:11:03

Друзья, помогите создать правило для IPFW
Необходимо закрыть доступ по ссш все кроме определенной группе различный айпи адресов...
Но есть ньюанс - айпишников около сотни и вбивать по каждому правило - лень.
Хочу сделать что то типа

предположим что sk0 - это твой внешний и-фейс
а (Table) это список адресов



allow tcp from (table) to ip.ip.ip.ip 22 in via sk0
reject tcp from any to ip.ip.ip.ip dst-port 22 in via sk0


Подскажите пожалуйста как создать эту табличку - синтаксис какой?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Создать IPFW правило?

Непрочитанное сообщение sch » 2009-07-23 18:28:09

куски содержимого /etc/ipfw.rules

Код: Выделить всё

fwcmd="/sbin/ipfw -q"

# *** TRUSTED external
${fwcmd} table 2 flush
${fwcmd} table 2 add a.b.c.d
${fwcmd} table 2 add e.f.g.h

 ...

${fwcmd} add 110 pass all from table\(2\) to me // Trusted hosts


100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение 100matolog » 2009-07-23 19:03:54

sch писал(а):куски содержимого /etc/ipfw.rules

Код: Выделить всё

fwcmd="/sbin/ipfw -q"

# *** TRUSTED external
${fwcmd} table 2 flush
${fwcmd} table 2 add a.b.c.d
${fwcmd} table 2 add e.f.g.h

 ...

${fwcmd} add 110 pass all from table\(2\) to me // Trusted hosts

возможно ли следующее - table 2 add a.b.c.d, e.f.g.h, 1.1.1.1, 2.2.2.2 ? и обязательно ли указывать маску?

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение f_andrey » 2009-07-23 19:32:31

100matolog писал(а):Друзья, помогите создать правило для IPFW
Необходимо закрыть доступ по ссш все кроме определенной группе различный айпи адресов...
А зачем задачу решать через жопу, если сам ssh, прекрасно поддерживает и группы доступа, и фильтры?
или просто лень прочесть
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение 100matolog » 2009-07-23 19:35:11

f_andrey писал(а):
100matolog писал(а):Друзья, помогите создать правило для IPFW
Необходимо закрыть доступ по ссш все кроме определенной группе различный айпи адресов...
А зачем задачу решать через жопу, если сам ssh, прекрасно поддерживает и группы доступа, и фильтры?
или просто лень прочесть
назвать IPFW жепой...нуну.....а постоянный брутефорс 22 порта вас не напрягает?

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение f_andrey » 2009-07-23 19:57:37

100matolog писал(а):назвать IPFW жепой...нуну.....а постоянный брутефорс 22 порта вас не напрягает?
Я называю "решением через жопу" решение проблемы не оправданными условиями задачи методами, пока вы заявляли что вам надо ограничить доступ по SSH для группы адресов, применять для этого IPFW нет никакого смысла, а тут выясняется что вас напрягает брутфорс, но это уже отдельный вопрос, обсужденный в том числе и на форуме и на сайте, и еше в тысяче мест интернета миллионы раз, может уже определитесь со своими задачами :evil:
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Создать IPFW правило?

Непрочитанное сообщение sch » 2009-07-23 22:15:56

f_andrey писал(а):
100matolog писал(а):назвать IPFW жепой...нуну.....а постоянный брутефорс 22 порта вас не напрягает?
Я называю "решением через жопу" решение проблемы не оправданными условиями задачи методами, пока вы заявляли что вам надо ограничить доступ по SSH для группы адресов, применять для этого IPFW нет никакого смысла, а тут выясняется что вас напрягает брутфорс, но это уже отдельный вопрос, обсужденный в том числе и на форуме и на сайте, и еше в тысяче мест интернета миллионы раз, может уже определитесь со своими задачами :evil:
с чего ты завелся? это нормально - разрешать доступ к серверу только с нужных адресов.
а твое мнение, что "ограничить доступ для группы адресов средствами IPFW не имеет никакого смысла" -- является немножко неправдой :oops:

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Создать IPFW правило?

Непрочитанное сообщение sch » 2009-07-23 22:20:17

100matolog писал(а):
возможно ли следующее - table 2 add a.b.c.d, e.f.g.h, 1.1.1.1, 2.2.2.2 ? и обязательно ли указывать маску?
если адрес без маски является легальным адресом для хоста, то он воспринимается как адрес с маской /32
А если хочешь указать сеть - то маска как бы нужна по любому 8)

несколько адресов в одной команде указывать нельзя.

А дальнейшие вопросы по деталям синтаксиса рассматриваются здесь -

Код: Выделить всё

man ipfw

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение ADRE » 2009-07-24 8:11:47

f_andrey писал(а):
100matolog писал(а):Друзья, помогите создать правило для IPFW
Необходимо закрыть доступ по ссш все кроме определенной группе различный айпи адресов...
А зачем задачу решать через жопу, если сам ssh, прекрасно поддерживает и группы доступа, и фильтры?
или просто лень прочесть
видать ключ прикрутить сложно =\
//del

100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение 100matolog » 2009-07-24 8:23:51

ADRE писал(а):
f_andrey писал(а):
100matolog писал(а):Друзья, помогите создать правило для IPFW
Необходимо закрыть доступ по ссш все кроме определенной группе различный айпи адресов...
А зачем задачу решать через жопу, если сам ssh, прекрасно поддерживает и группы доступа, и фильтры?
или просто лень прочесть
видать ключ прикрутить сложно =\
видать ключ использовать не хочу. ;-)

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Создать IPFW правило?

Непрочитанное сообщение Burner » 2009-07-24 11:55:46

ip просто рандомные?

100matolog
ст. сержант
Сообщения: 309
Зарегистрирован: 2008-05-30 12:11:16
Откуда: kiev
Контактная информация:

Re: Создать IPFW правило?

Непрочитанное сообщение 100matolog » 2009-07-24 13:05:44

Burner писал(а):ip просто рандомные?
да...разные провайдеры - разные айпишники