Страница 1 из 1

отрицание not в ipfw

Добавлено: 2009-09-28 16:50:22
Gamerman
Судя с мана
addr: [not] {any | me | me6 | table(number[,value]) | addr-list |
addr-set}

Можно ли одной командой сделать что-то подобное к
$cmd 00331 allow all from any to (not 10.200.23.0/24) and (not 10.202.20.0/24)

Re: отрицание not в ipfw

Добавлено: 2009-09-28 16:55:04
paradox
нет
но можно сделать по другому через tables

Re: отрицание not в ipfw

Добавлено: 2009-09-28 16:57:43
Gamerman
Получается, что нот относится только ко всему списку :(

Re: отрицание not в ipfw

Добавлено: 2009-09-28 17:00:10
paradox
(not 10.200.23.0/24) and (not 10.202.20.0/24)
не список?

Re: отрицание not в ipfw

Добавлено: 2009-09-28 17:04:18
Gamerman
Имел в виду, что нот относиться ко всему выражению, но не может относиться к части выражения

Re: отрицание not в ipfw

Добавлено: 2009-09-28 17:07:46
paradox

Код: Выделить всё

not 10.200.23.0/24,10.202.20.0/24
так не?

Re: отрицание not в ipfw

Добавлено: 2009-09-28 17:19:46
Gamerman
Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)

PS
С таблицами тоже не очень красиво получается.

Re: отрицание not в ipfw

Добавлено: 2009-09-28 21:37:08
schizoid
по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.

Re: отрицание not в ipfw

Добавлено: 2009-09-28 21:47:44
Gamerman
schizoid писал(а):по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.
Так как нет параметра and, пытался придумать, как записать то правило, которое указано выше. Не получается. Приходиться писать несколько (например 2).

Re: отрицание not в ipfw

Добавлено: 2009-09-28 21:57:45
schizoid
такое нужно?
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)

Re: отрицание not в ipfw

Добавлено: 2009-09-28 22:06:26
Gamerman
Да, потому что укртелеком строит ВПН таким образом, что машины с одной сети не знают куда идти, если им нужно идти дальше сети (ВПН от УТК).
Грубо говоря, на ихнем центральном роутере нет понятия "шлюз по умолчанию". Я, правда, не сильно их и напрягал по этому вопросу, проще самому нат поднять.

Re: отрицание not в ipfw

Добавлено: 2009-09-29 14:52:34
schizoid
что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?

Re: отрицание not в ipfw

Добавлено: 2009-09-29 15:05:23
Gamerman
schizoid писал(а):что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?
Потому что я выхожу с сети 10.202.0.0/24. Без ната я вижу сеть 10.200.20.0/24 и точку 192.168.100.20.
Но есть еще точки, с адресами 192.168.100.Х, и сети 10.200.Х.Х, которые без ната мне не увидеть.

Re: отрицание not в ipfw

Добавлено: 2009-09-29 15:17:14
schizoid
а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.

Re: отрицание not в ipfw

Добавлено: 2009-09-29 15:32:59
Gamerman
schizoid писал(а):а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.
Потому что сеть 192,168,100,0/24 и 10,200,0,0/24 делается через услугу ВПМ (Віртуальна приватна мережа ) от УТК.
Например пакет от точки 10.200.21.21 к точке 10.200.200.200 идет так:
10.200.21.21 - 10.200.21.1 - АйПи УТК (172.16.Х.Х) - 192.168.100.20 - 10.200.20.200
Есть сеть 10.202.0.0/24. По глупой маршрутизации УТК пакет с точки 10.200.21.21 на эту сеть дойдет только до 172.16.Х.Х
То есть 10.200.21.21 - 10.200.21.1 - 172.16.Х.Х и тут СТОП. Так как маршрутизатор 172.16.Х.Х мне не подконтролен и у него не прописано куда идти на адрес 10.202.0.0/24.
Сеть 10.202.0.0 это еще один сегмент подключеный к сети 10.200.20.0/24.

Re: отрицание not в ipfw

Добавлено: 2009-09-30 10:35:48
schizoid
постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.

Re: отрицание not в ipfw

Добавлено: 2009-09-30 10:42:30
Gamerman
schizoid писал(а):постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.
А зачем? Так на конечных машинах параметры ТСР/ІР настроил и все работает.
А НАТ настроить нужно для 1 точки, что собственно и сделано. Только не одной командой для фаервола, но то был вопрос скорее эстетики чем функциональности.

Кроме того, такая ущербность маршрутизатора УТК имеет и свой плюс. Кривой трафик обрывается на маршрутизаторе и не забивает каналы на других сегментах.

Re: отрицание not в ipfw

Добавлено: 2009-09-30 10:50:11
schizoid
покажите как у вас сделано двумя (или несколькими) правилами

Re: отрицание not в ipfw

Добавлено: 2009-09-30 10:54:07
Gamerman
schizoid писал(а):покажите как у вас сделано двумя (или несколькими) правилами
Чуть позже, потому как поламал в процессе экспериментов.
Несколько правил именно для НАТ имелось в виду.

Re: отрицание not в ipfw

Добавлено: 2009-09-30 11:01:02
Gamerman

Код: Выделить всё

     #Nat z OVPN na corporativku

     ipfw nat 1 config if $lif  same_ports
     $cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20  via $lif
     $cmd 00203 nat 1 ip from any to me  via $lif

$cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20 via $lif
Выделено то, что я хотел эстетично оформить. Вроде даже получилось

Re: отрицание not в ipfw

Добавлено: 2009-09-30 11:49:18
schizoid
а так?

Код: Выделить всё

ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0

Re: отрицание not в ipfw

Добавлено: 2009-09-30 11:56:43
Gamerman
schizoid писал(а):а так?

Код: Выделить всё

ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0
Мне нужно чтобы на 192.168.100.20 шло напрямую, а в вашем примере оно пойдет через НАТ.

Re: отрицание not в ipfw

Добавлено: 2009-09-30 12:18:34
schizoid
Gamerman писал(а):Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
?

Re: отрицание not в ipfw

Добавлено: 2009-09-30 12:23:48
Gamerman
Это тоже было правильно (на момент написания поста), но потом обнаружилось, что есть адрес 192.168.100.20, для которого натить не надо было. Посколько натить нужно было адреса, которые ходили через один интерфейс, то оказалось, что проще было натить все с этого интерфейса, кроме указаных адресов. Так и получилось последнее правило.