forum.lissyara.su

Добавлено: **2007-05-08 12:39:09**

Помогите написать правило для подсчёта входящего трафика для конкретного IP.
${fwcmd} add count ip from any to 192.168.10.1 in via ${lanin} - не работает.
lanin - внутренняя сетевуха.

Добавлено: **2007-05-08 12:46:26**

DEX писал(а):Помогите написать правило для подсчёта входящего трафика для конкретного IP.
${fwcmd} add count ip from any to 192.168.10.1 in via ${lanin} - не работает.
lanin - внутренняя сетевуха.

Входящего понятно, а идущего куда? В инет?

Примерно так, только учитывай что будет общение со шлюзом(это тоже траф) на которым это траф будет считаться. Можно поставить перед divert'ом на natd к примеру, если нужен траф инета.
${fwcmd} add count ip from 192.168.10.1 to any in via ${lanin}

Добавлено: **2007-05-08 12:57:55**

Вот по этому правилу - ${fwcmd} add count ip from 192.168.10.1 to any in via ${lanin}
будет счетаться ВЕСЬ входящий интернет трафик для данного IP ?

Добавлено: **2007-05-08 13:49:06**

смотря в каком месте разместить
и тока входящий

Добавлено: **2007-05-08 14:10:33**

Его ставить до или после этих двух правил?
${fwcmd} add divert natd ip from ${netin}/${netmask} to any out via ${lanout}
${fwcmd} add divert natd ip from any to ${ipout} in via ${lanout}

Добавлено: **2007-05-08 14:18:56**

перед правилами

Добавлено: **2007-05-08 14:45:11**

DEX писал(а):Вот по этому правилу - ${fwcmd} add count ip from 192.168.10.1 to any in via ${lanin}
будет счетаться ВЕСЬ входящий интернет трафик для данного IP ?

Стоп, стоп.

Входящий интернет трафик для хоста? Или исходящий в интернет трафик от хоста?

Вывод ipfw -a list и IP клиента сюда.

Добавлено: **2007-05-08 15:02:52**

Входящий интернет трафик для хоста

Добавлено: **2007-05-08 15:24:01**

DEX писал(а):Входящий интернет трафик для хоста

Конфиг фаера никак показать?

К примеру обычный сделан так:

allow ip from any to any via lo
allow ip from any to any via ${lanin}
..
..

В таком варианте можно сделать так:
mylan="192.168.x.x"

allow ip from any to any via lo
${fwcmd} add count ip from not ${mylan} to 192.168.10.1 out via ${lanin}
allow ip from any to any via ${lanin}

Посчитаются все пакеты, исходный адрес которых не ${mylan}, т.е. другие, т.е. инет. Идущие к клиенту (исходящие)

Итог: Для шлюза траф исходящий, для клиента входящий. Путаница была именно в этом, ты просил входящий трафик считать, и подразумевалось, что учёт будет на шлюзе.

Добавлено: **2007-05-08 15:56:09**

fwcmd="/sbin/ipfw -q"
lanout="fxp0"
lanin="fxp1"
ipout="ХХХ.ХХХ.ХХХ.ХХ"
ipin="192.168.10.ХХ"
netmask="24"
netin="192.168.10.0"
${fwcmd} -f flush
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${lanout}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${lanout}
${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${lanout}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${lanout}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${lanout}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${lanout}
#${fwcmd} add divert 8668 tcp from any to 212.119.109.58 3389 via fxp0
#${fwcmd} add divert 8668 tcp from 192.168.10.1 3389 to any via fxp0
#${fwcmd} add allow log tcp from any to 192.168.10.1 3389 via any
#################################
${fwcmd} add count log tcp from 192.168.10.1 to any in via ${lanin}
##################################
${fwcmd} add divert natd ip from ${netin}/${netmask} to any out via ${lanout}
${fwcmd} add divert natd ip from any to ${ipout} in via ${lanout}
${fwcmd} add allow tcp from any to any 25
${fwcmd} add allow tcp from any 25 to any
${fwcmd} add allow tcp from any to any 110
${fwcmd} add allow tcp from any 110 to any
${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${lanout}
${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 169.254.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${lanout}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${lanout}
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow ip from ${ipout} to any out xmit ${lanout}
${fwcmd} add allow udp from any 53 to any via ${lanout}
${fwcmd} add allow tcp from any to ${ipout} 49152-65535 via ${lanout}
${fwcmd} add allow tcp from 192.168.10.20 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.21 to any 80,25,110,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.22 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.23 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.24 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.26 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.27 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.28 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.29 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.30 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.31 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.32 to any 80,110,25,2041,2042 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.35 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.36 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.37 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.39 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.40 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.41 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.42 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.43 to any 80,110,25,5190,21,20,443 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.44 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.45 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.46 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.47 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.48 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.49 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.50 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.51 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.53 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.54 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.55 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.56 to any 80,20,21 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.58 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.59 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.60 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.61 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.63 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.1 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.5 to any not 80 via ${lanin} keep-state
${fwcmd} add allow udp from any to any via ${lanin}
${fwcmd} add allow icmp from any to any via ${lanin}
${fwcmd} add deny tcp from any to any

Добавлено: **2007-05-08 15:58:50**

есть хорошая кнопочка

Код: Выделить всё

Добавлено: **2007-05-08 16:10:32**

fwcmd="/sbin/ipfw -q"
lanout="fxp0"
lanin="fxp1"
ipout="ХХХ.ХХХ.ХХХ.ХХ"
ipin="192.168.10.ХХ"
netmask="24"
netin="192.168.10.0"
${fwcmd} -f flush
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${lanout}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${lanout}
${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${lanout}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${lanout}
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${lanout}
${fwcmd} add deny icmp from any to any frag
${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${lanout}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${lanout}
#${fwcmd} add divert 8668 tcp from any to 212.119.109.58 3389 via fxp0
#${fwcmd} add divert 8668 tcp from 192.168.10.1 3389 to any via fxp0
#${fwcmd} add allow log tcp from any to 192.168.10.1 3389 via any
#################################
${fwcmd} add count log tcp from 192.168.10.1 to any in via ${lanin}
##################################
${fwcmd} add divert natd ip from ${netin}/${netmask} to any out via ${lanout}
${fwcmd} add divert natd ip from any to ${ipout} in via ${lanout}
${fwcmd} add allow tcp from any to any 25
${fwcmd} add allow tcp from any 25 to any
${fwcmd} add allow tcp from any to any 110
${fwcmd} add allow tcp from any 110 to any
${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${lanout}
${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${lanout}
${fwcmd} add deny ip from 169.254.0.0/16 to any out via ${lanout}
${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${lanout}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${lanout}
${fwcmd} add count ip from not 192.168.0.0/16 to 192.168.10.1 out via ${lanin}
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow ip from ${ipout} to any out xmit ${lanout}
${fwcmd} add allow udp from any 53 to any via ${lanout}
${fwcmd} add allow tcp from any to ${ipout} 49152-65535 via ${lanout}
${fwcmd} add allow tcp from 192.168.10.20 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.21 to any 80,25,110,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.22 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.23 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.24 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.26 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.27 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.28 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.29 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.30 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.31 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.32 to any 80,110,25,2041,2042 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.35 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.36 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.37 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.39 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.40 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.41 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.42 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.43 to any 80,110,25,5190,21,20,443 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.44 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.45 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.46 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.47 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.48 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.49 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.50 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.51 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.53 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.54 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.55 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.56 to any 80,20,21 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.58 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.59 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.60 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.61 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.63 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.1 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.5 to any not 80 via ${lanin} keep-state
${fwcmd} add allow udp from any to any via ${lanin}
${fwcmd} add allow icmp from any to any via ${lanin}
${fwcmd} add deny tcp from any to any

Добавлено: **2007-06-28 11:56:16**

Подскажите как правильно задать доменное имя в правиле файера?
У нас в офисе установлен антивирус nod32 он может делает обновления начиная с u20.eset.com и заканчивая u39.eset.com

Добавлено: **2007-06-28 12:00:32**

UTNIOZ писал(а):Подскажите как правильно задать доменное имя в правиле файера?
У нас в офисе установлен антивирус nod32 он может делает обновления начиная с u20.eset.com и заканчивая u39.eset.com

Пример приведи, что нужно получить. И что не получается.

Добавлено: **2007-06-28 12:34:05**

dikens3 писал(а):

Код: Выделить всё

${fwcmd} add allow tcp from 192.168.10.20 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.21 to any 80,25,110,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.22 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.23 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.24 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.26 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.27 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.28 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.29 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.30 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.31 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.32 to any 80,110,25,2041,2042 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.35 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.36 to any 80,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.37 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.39 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.40 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.41 to any 80,110,25,5190 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.42 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.43 to any 80,110,25,5190,21,20,443 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.44 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.45 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.46 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.47 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.48 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.49 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.50 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.51 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.53 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.54 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.55 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.56 to any 80,20,21 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.58 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.59 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.60 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.61 to any 80,110,25 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.63 to any 80 via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.1 to any via ${lanin} keep-state
${fwcmd} add allow tcp from 192.168.10.5 to any not 80 via ${lanin} keep-state

А диапазон адресов нельхя разве в ipfw задавать? У тебя один провайдер, я так понимаю?

Добавлено: **2007-06-28 12:43:22**

можно. дефис рулит

=========
тебе ли не знать - ты ж пеерводил хандбук

Добавлено: **2007-06-28 12:54:28**

А диапазон адресов нельхя разве в ipfw задавать? У тебя один провайдер, я так понимаю?

Можно и нужно, только это фаер DEX'а, а не мой. И тема уже забыта давно.

Добавлено: **2007-06-28 12:57:51**

UTNIOZ писал(а):Подскажите как правильно задать доменное имя в правиле файера?
У нас в офисе установлен антивирус nod32 он может делает обновления начиная с u20.eset.com и заканчивая u39.eset.com

Если правильно мыcлю что ты хочешь:

Код: Выделить всё

Команда:
ipfw add allow tcp from u32.eset.com to me
В фаере:
32000 allow tcp from 89.202.149.42 to me

Добавлено: **2007-06-28 13:17:19**

dikens3 писал(а):Если правильно мыcлю что ты хочешь:
Код: Выделить всё
Команда:
ipfw add allow tcp from u32.eset.com to me
В фаере:
32000 allow tcp from 89.202.149.42 to me

В том то и дело что адрес может быть любой от u20.eset.com до u39.eset.com, лень все прописывать, можно как-то диапазоном?

Добавлено: **2007-06-28 13:28:09**

lissyara писал(а):можно. дефис рулит
=========
тебе ли не знать - ты ж пеерводил хандбук

Да я на то и переводил, что бы не запоминать

Кстати говоря, непонятно,
почему pf никто не использует?

Добавлено: **2007-06-28 13:28:13**

Конструкций аля:
ipfw add allow tcp from (u20-u39).eset.com to me
ipfw вроде не поддерживает(попробуй), а лень штука плохая.

Добавлено: **2007-06-28 16:14:17**

dikens3 писал(а):Конструкций аля:
ipfw add allow tcp from (u20-u39).eset.com to me
ipfw вроде не поддерживает(попробуй), а лень штука плохая.

зато поддерживаются конструкции типа

Код: Выделить всё

i=20
while test $i != 40
do
${FwCMD} add allow tcp from u${i}.eset.com to me
i=$(($i+1))
done

однако, шелл рулит

Добавлено: **2007-06-29 5:52:03**

У меня в конфиге есть строка:
${fwcmd} add pass tcp from ${inet}:${imask} to u23.eset.com setup
при перезагрузке выдает следующую ошибку:
ipfw: hostname ``u23.eset.com'' unknown

Добавлено: **2007-06-29 6:24:12**

адреса юзай, а не имена

forum.lissyara.su

Помогите с правилом для IPFW.

Помогите с правилом для IPFW.

Re: Помогите с правилом для IPFW.