forum.lissyara.su

Код: Выделить всё

#!/bin/sh

# зададим переменные
Lan1="192.168.1.0/24"
If1="rl2"

Lan4="192.168.4.0/24"
If4="rl0"

Lan5="192.168.5.0/24"
If5="rl1"

# первым можно ходить ко вторым
AllowedIPs="{ 192.168.1.100, 192.168.1.200 }"
Servers= "{ 192.168.4.2, 192.168.5.2 }"

fw="/sbin/ipfw"

# локальная петля
${fw} allow ip from any to any via lo0
${fw} deny ip from any to 127.0.0.0/8
${fw} deny ip from 127.0.0.0/8 to any

# Собственно ограничение доступа
  # разрешаем хождение пакетов в первой подсети. 
  # без этого могут быть проблемы. а могут и не быть
${fw} allow ip from ${Lan1} to ${Lan1} in via  ${If1}

  # разрешаем с указанных адресов ходить на указанные сервера
${fw} allow ip from ${AllowedIPs} to ${Servers} in via ${If1}

  # по аналогии разрешаем доступ с 1.123 на 5.213 
#${fw} allow ip from 192.168.1.123 to 192.168.5.213 in via ${If1}

  # и с 1.234 на 4,243
#${fw} allow ip from 192.168.1.234 to 192.168.4.243 in via ${If1}

  # запрещаем всей остальной первой подсети ходить через нас. 
  # все что можно мы уже разрешили выше.
${fw} deny ip from ${Lan1} to any in via ${If1}

  # разрешаем все остальное. но по хорошему - в правилах должны быть 
  # только явные разрешения и запрет на все остальное
${fw} allow ip from any to any

Код: Выделить всё

#!/bin/sh
fw="/sbin/ipfw -q"
#
lan1="192.168.1.0/24"
if1="rl0"
#
lan4="192.168.4.0/24"
if4="rl0"
#
lan5="192.168.5.0/24"
if5="rl1"
#
AllowedIPs="{ 192.168.1.57, 192.168.1.160, 192.168.1.12 }"
Servers="{ 192.168.4.2, 192.168.4.6 }"
#
#
${fw} -f flush
${fw} add check-state
${fw} add allow all from any to any via lo0
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
#
${fw} add allow ip from ${lan1} to ${lan1} via ${if1}
${fw} add allow ip from ${lan4} to ${lan4} via ${if4}
${fw} add allow ip from ${lan5} to ${lan5} via ${if5}

# оба направления с обоих сторон машины
${fw} add allow ip from ${AllowedIPs} to ${Servers} in  recv ${if1}             # входящий на шлюз к серверам снаружи
${fw} add allow ip from ${AllowedIPs} to ${Servers} out recv ${if1} xmit ${if4} # исходящий со шлюза к серверам внутри
${fw} add allow ip from ${Servers}    to any        in  recv ${if4}             # входящий на шлюз от серверов внутри
${fw} add allow ip from ${Servers}    to any        out recv ${if4} xmit ${if1} # исходящий со шлюза от серверов снаружи

# а вот тут  - самое место поиграть с keep-state, 
# но я не игрался и подсказать не могу =(
# навскидку - просто дописать в конец каждого правила "setup keep-state"
${fw} add allow ip from ${lan4} to ${lan1} in  recv ${if4}                      # входящий на шлюз в первую из четвертой внутри
${fw} add allow ip from ${lan4} to ${lan1} out recv ${if4} xmit ${if1}          # исходящий со шлюза в первую из четвертой снаружи
${fw} add allow ip from ${lan5} to ${lan1} in  recv ${if5}                      # входящий на шлюз в первую из пятой внутри
${fw} add allow ip from ${lan5} to ${lan1} out recv ${if5} xmit ${if1}          # исходящий со шлюза в первую из пятой снаружи

#
${fw} add allow ip from 192.168.1.11 to ${lan4} in via ${if1}
${fw} add allow ip from ${lan4} to 192.168.1.11 in via ${if4}
${fw} add allow ip from 192.168.1.11 to ${lan4} out via ${if4}
${fw} add allow ip from ${lan4} to 192.168.1.11 out via ${if1}

#
${fw} add deny ip from ${lan1} to any in via ${if1}

#
#${fw} add 65500 allow ip from any to any
${fw} add 65530 deny log logamount 3000 all from any to any