непойму чуток, где вставить deny
Добавлено: 2007-12-07 13:19:11
ребят ... ситуация заключается в следующем.
есть набор правил ipfw
как вы видите ...
00100 0 0 deny ip from 206.123.100.8 to me
00200 0 0 deny ip from me to 206.123.100.8
ситуация в том, что с этими правилами у меня все нормально работает.
но так сложилось, что 206.123.100.8 рассылаем спам, а я хочу ... заблокировать его не на уровне ... почтового демона, а на уровне ... непосредственно фаервола. чтобы рубало все с этого сервера.
вынаписанные правила 100 и 200 не помогают. то есть ...
мне нужно запретить ВСЕ что касается этого айпи.
так же ... включена опция ... чтобы ... пакеты проходили по всем правилам.
net.inet.ip.fw.one_pass=0
подкскажите, где верно вставить ... правило, чтобы нафик похоронить этот айпи ?
спасибо большое, за внимание
есть набор правил ipfw
Код: Выделить всё
[root@server /var/log]# ipfw show
00050 19468920 1710427359 count ip from any to any in via bge0
00051 30800655 41582071463 count ip from any to any out via bge0
00100 0 0 deny ip from 206.123.100.8 to me
00100 66152 7301956 allow ip from any to any via lo0
00200 0 0 deny ip from me to 206.123.100.8
00200 5062 757117 allow ip from any to 216.32.64.26 dst-port 8443 in via bge0
00201 191 21307 allow ip from any to 216.32.64.26 dst-port 14534 in via bge0
00300 5512 3862926 allow ip from 216.32.64.26 8443 to any out via bge0
00301 213 206059 allow ip from 216.32.64.26 14534 to any out via bge0
00401 0 0 allow tcp from any to any dst-port 20 keep-state
00501 1344 71170 allow tcp from any to any dst-port 21 keep-state
00601 13688053 12598170199 allow tcp from any to any dst-port 49152-65535 keep-state
00701 53054 4785234 allow udp from 216.32.64.26 to 208.67.222.222,208.67.220.220 dst-port 53 keep-state
00801 5 200 allow tcp from any to me dst-port 53 setup
00901 33331 5989573 allow udp from me 53 to any
01001 33332 2349466 allow udp from any to me dst-port 53
01101 147948 90092643 allow tcp from any to 216.32.64.26 dst-port 25 via bge0 keep-state
01201 127273 61251783 allow tcp from any to 216.32.64.26 dst-port 110 via bge0 keep-state
01301 340066 44101611 allow tcp from any to me dst-port 80
01401 411075 484783166 allow tcp from me 80 to any
01501 1095 65700 allow tcp from me to any dst-port 80
01601 5 240 allow tcp from any 80 to me
01701 69727 6328204 allow ip from any to me dst-port 22
01801 63520 14754782 allow ip from me 22 to any
01901 20927511 29034634187 allow ip from me 6890-6999 to any
02001 13833691 901457659 allow ip from any to me dst-port 6890-6999
02101 1263 77766 allow tcp from 216.32.64.26 to any dst-port 25
02201 526295 38744472 deny ip from any to any
65535 451 93228 allow ip from any to any
00100 0 0 deny ip from 206.123.100.8 to me
00200 0 0 deny ip from me to 206.123.100.8
ситуация в том, что с этими правилами у меня все нормально работает.
но так сложилось, что 206.123.100.8 рассылаем спам, а я хочу ... заблокировать его не на уровне ... почтового демона, а на уровне ... непосредственно фаервола. чтобы рубало все с этого сервера.
вынаписанные правила 100 и 200 не помогают. то есть ...
мне нужно запретить ВСЕ что касается этого айпи.
так же ... включена опция ... чтобы ... пакеты проходили по всем правилам.
net.inet.ip.fw.one_pass=0
подкскажите, где верно вставить ... правило, чтобы нафик похоронить этот айпи ?
спасибо большое, за внимание