Страница 1 из 1
Ворос по IPFW
Добавлено: 2013-02-22 11:37:50
alex117
У лисяры в статье по ipfw есть такой пункт:
# рубим траффик к частным сетям через внешний интерфейс
Код: Выделить всё
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
Правильно ли я понимаю логику этой строчки, т.е запрещаем все пакеты из внешней подсети 10.0.0.0/8 к нашей, выходящие из интерфейса LanOut?
Тогда почему лисяра пишет траффик
К частным сетям, а не
ОТ?
Ведь написано же
ip from 10.0.0.0/8 to any?
Re: Ворос по IPFW
Добавлено: 2013-02-22 11:52:13
harmless
Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut
Re: Ворос по IPFW
Добавлено: 2013-02-22 12:00:58
alex117
harmless писал(а):Дословно по правилу
Запрещаем пакеты сети 10.0.0.0/8 выходить через интерфейс LanOut
Т.е для пакетов, приходящих из вне на интерфейс нужно писать
,
а для исходящих из нашей сети через него
Re: Ворос по IPFW
Добавлено: 2013-02-22 12:11:06
harmless
Логика хромает у вас.
Есть направления исходящее(out) и входящее(in) на интерфейсе.
Если у вас на одном интерфейсе пакеты входящие то на другом они уже будут исходящие!
Re: Ворос по IPFW
Добавлено: 2013-02-22 12:13:35
alex117
я просто почитал полное описание по ipfw и еще больше запутался.
Re: Ворос по IPFW
Добавлено: 2013-02-22 12:15:38
harmless
alex117 писал(а):я просто почитал полное описание по ipfw и еще больше запутался.
Там в мане есть очень красивая схема - вот по ней все понятно
Re: Ворос по IPFW
Добавлено: 2013-02-22 13:11:16
FreeBSP
пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222
Код: Выделить всё
(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)
ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2
# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24
# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24
# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24
# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24
# остальное впень
$ipfw add deny ip from any to any
Re: Ворос по IPFW
Добавлено: 2013-02-22 15:44:55
alex117
FreeBSP писал(а):пример: две сети и шлюз между ними
машина 1.1.1.111 пингует одним пакетом машину 2.2.2.222
Код: Выделить всё
(1.1.1.0/24) <-> (1.1.1.1]-Шлюз-[2.2.2.2) <-> (2.2.2.0/24)
ifconfig $if1 1.1.1.1
ifconfig $if2 2.2.2.2
# запрос пришел на шлюз
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 in via $if1 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сеть 2.2.2.0/24
# запрос ушел со шлюза
$ipfw add allow ip from 1.1.1.0/24 to 2.2.2.0/24 out via $if2 # пакет с адресом отправителя из сети 1.1.1.0/24 уходит с интерфейса $if2 в сеть 2.2.2.0/24
# ответ пришел на шлюз
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 in via $if2 # пакет из сети 1.1.1.0/24 пришел на интерфейс $if1 с целью попасть в сети 2.2.2.0/24
# ответ ушел со шлюза
$ipfw add allow ip from 2.2.2.0/24 to 1.1.1.0/24 out via $if1 # пакет с адресом отправителя из сети 2.2.2.0/24 уходит с интерфейса $if1 в сеть 1.1.1.0/24
# остальное впень
$ipfw add deny ip from any to any
Спасибо, теперь многое стало понятно, просто путался с интерфейсами - куда приходит, откуда выходит.
Проще разбираться стало когда нарисовал схему шлюза с двумя карточками.