Страница 1 из 1
отрицание not в ipfw
Добавлено: 2009-09-28 16:50:22
Gamerman
Судя с мана
addr: [not] {any | me | me6 | table(number[,value]) | addr-list |
addr-set}
Можно ли одной командой сделать что-то подобное к
$cmd 00331 allow all from any to (not 10.200.23.0/24) and (not 10.202.20.0/24)
Re: отрицание not в ipfw
Добавлено: 2009-09-28 16:55:04
paradox
нет
но можно сделать по другому через tables
Re: отрицание not в ipfw
Добавлено: 2009-09-28 16:57:43
Gamerman
Получается, что нот относится только ко всему списку
Re: отрицание not в ipfw
Добавлено: 2009-09-28 17:00:10
paradox
(not 10.200.23.0/24) and (not 10.202.20.0/24)
не список?
Re: отрицание not в ipfw
Добавлено: 2009-09-28 17:04:18
Gamerman
Имел в виду, что нот относиться ко всему выражению, но не может относиться к части выражения
Re: отрицание not в ipfw
Добавлено: 2009-09-28 17:07:46
paradox
Re: отрицание not в ipfw
Добавлено: 2009-09-28 17:19:46
Gamerman
Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
PS
С таблицами тоже не очень красиво получается.
Re: отрицание not в ipfw
Добавлено: 2009-09-28 21:37:08
schizoid
по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.
Re: отрицание not в ipfw
Добавлено: 2009-09-28 21:47:44
Gamerman
schizoid писал(а):по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.
Так как нет параметра
and, пытался придумать, как записать то правило, которое указано выше. Не получается. Приходиться писать несколько (например 2).
Re: отрицание not в ipfw
Добавлено: 2009-09-28 21:57:45
schizoid
такое нужно?
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
Re: отрицание not в ipfw
Добавлено: 2009-09-28 22:06:26
Gamerman
Да, потому что укртелеком строит ВПН таким образом, что машины с одной сети не знают куда идти, если им нужно идти дальше сети (ВПН от УТК).
Грубо говоря, на ихнем центральном роутере нет понятия "шлюз по умолчанию". Я, правда, не сильно их и напрягал по этому вопросу, проще самому нат поднять.
Re: отрицание not в ipfw
Добавлено: 2009-09-29 14:52:34
schizoid
что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?
Re: отрицание not в ipfw
Добавлено: 2009-09-29 15:05:23
Gamerman
schizoid писал(а):что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?
Потому что я выхожу с сети 10.202.0.0/24. Без ната я вижу сеть 10.200.20.0/24 и точку 192.168.100.20.
Но есть еще точки, с адресами 192.168.100.Х, и сети 10.200.Х.Х, которые без ната мне не увидеть.
Re: отрицание not в ipfw
Добавлено: 2009-09-29 15:17:14
schizoid
а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.
Re: отрицание not в ipfw
Добавлено: 2009-09-29 15:32:59
Gamerman
schizoid писал(а):а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.
Потому что сеть 192,168,100,0/24 и 10,200,0,0/24 делается через услугу ВПМ (Віртуальна приватна мережа ) от УТК.
Например пакет от точки 10.200.21.21 к точке 10.200.200.200 идет так:
10.200.21.21 - 10.200.21.1 - АйПи УТК (172.16.Х.Х) - 192.168.100.20 - 10.200.20.200
Есть сеть 10.202.0.0/24. По глупой маршрутизации УТК пакет с точки 10.200.21.21 на эту сеть дойдет только до 172.16.Х.Х
То есть 10.200.21.21 - 10.200.21.1 - 172.16.Х.Х и тут СТОП. Так как маршрутизатор 172.16.Х.Х мне не подконтролен и у него не прописано куда идти на адрес 10.202.0.0/24.
Сеть 10.202.0.0 это еще один сегмент подключеный к сети 10.200.20.0/24.
Re: отрицание not в ipfw
Добавлено: 2009-09-30 10:35:48
schizoid
постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.
Re: отрицание not в ipfw
Добавлено: 2009-09-30 10:42:30
Gamerman
schizoid писал(а):постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.
А зачем? Так на конечных машинах параметры ТСР/ІР настроил и все работает.
А НАТ настроить нужно для 1 точки, что собственно и сделано. Только не одной командой для фаервола, но то был вопрос скорее эстетики чем функциональности.
Кроме того, такая ущербность маршрутизатора УТК имеет и свой плюс. Кривой трафик обрывается на маршрутизаторе и не забивает каналы на других сегментах.
Re: отрицание not в ipfw
Добавлено: 2009-09-30 10:50:11
schizoid
покажите как у вас сделано двумя (или несколькими) правилами
Re: отрицание not в ipfw
Добавлено: 2009-09-30 10:54:07
Gamerman
schizoid писал(а):покажите как у вас сделано двумя (или несколькими) правилами
Чуть позже, потому как поламал в процессе экспериментов.
Несколько правил именно для НАТ имелось в виду.
Re: отрицание not в ipfw
Добавлено: 2009-09-30 11:01:02
Gamerman
Код: Выделить всё
#Nat z OVPN na corporativku
ipfw nat 1 config if $lif same_ports
$cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20 via $lif
$cmd 00203 nat 1 ip from any to me via $lif
$cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20 via $lif
Выделено то, что я хотел эстетично оформить. Вроде даже получилось
Re: отрицание not в ipfw
Добавлено: 2009-09-30 11:49:18
schizoid
а так?
Код: Выделить всё
ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0
Re: отрицание not в ipfw
Добавлено: 2009-09-30 11:56:43
Gamerman
schizoid писал(а):а так?
Код: Выделить всё
ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0
Мне нужно чтобы на 192.168.100.20 шло напрямую, а в вашем примере оно пойдет через НАТ.
Re: отрицание not в ipfw
Добавлено: 2009-09-30 12:18:34
schizoid
Gamerman писал(а):Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
?
Re: отрицание not в ipfw
Добавлено: 2009-09-30 12:23:48
Gamerman
Это тоже было правильно (на момент написания поста), но потом обнаружилось, что есть адрес 192.168.100.20, для которого натить не надо было. Посколько натить нужно было адреса, которые ходили через один интерфейс, то оказалось, что проще было натить все с этого интерфейса, кроме указаных адресов. Так и получилось последнее правило.