Страница 1 из 1
ipfw
Добавлено: 2008-03-25 15:25:19
hammer68
Код: Выделить всё
ipfw='/sbin/ipfw -q'
cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"
${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i
${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy
${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut
Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку
Re: ipfw
Добавлено: 2008-03-25 16:46:26
hizel
via rl0i
как минимум это выглядит подозрительным
что не получается то?
Re: ipfw
Добавлено: 2008-03-25 17:12:39
hammer68
hizel писал(а):via rl0i
как минимум это выглядит подозрительным
что не получается то?
а че станного ?
пробовал так
Код: Выделить всё
${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy
${ipfw} add 01090 deny all from yy.yy.yy.yy to any
${ipfw} add 01100 deny all from any to yy.yy.yy.yy
как я понимаю первые 4 правила должны пропускать все на cluster и обратно а два последних резать все остальное во внешку но к clustery при этом не достучаться
ipfw show
Код: Выделить всё
00350 2270 407912 allow tcp from yy.yy.yy.yy to cluster
00360 4890 3100104 allow tcp from cluster to yy.yy.yy.yy
00370 14 1220 allow udp from yy.yy.yy.yy to cluster
00380 28 1592 allow udp from cluster to yy.yy.yy.yy
01090 42 3446 deny ip from yy.yy.yy.yy to any
01100 0 0 deny ip from any to yy.yy.yy.yy
то есть пакеты проходят первые 4 правила а патом рубятся двумя последними но как мне думается они не должны доходить до них
может я че нить с доступом к роутеру накасячил
Re: ipfw
Добавлено: 2008-03-25 17:17:06
-cat-
hammer68 писал(а):Код: Выделить всё
ipfw='/sbin/ipfw -q'
cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"
${ipfw} -f flush
${ipfw} add 00100 divert natd all from any to any via rl0i
${ipfw} add 01090 allow all from yy.yy.yy.yy to any
${ipfw} add 01100 allow all from any to yy.yy.yy.yy
${ipfw} add allow all from LanOut to any
${ipfw} add allow all from any to LanOut
Вот кусок моего фаера, он работает и все было хорошо, пока не потребовалось сделать так чтобы был полный доступ к cluster а остальной инет севь вырубить.
Народ помогите решить эту задачку
Код: Выделить всё
ipfw='/sbin/ipfw -q'
cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"
${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i
${ipfw} add allow all from $LanIn to $LanIn
${ipfw} add allow all from $cluster to any
${ipfw} add allow all from any to $cluster
${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut
${ipfw} add deny all from any to any
Re: ipfw
Добавлено: 2008-03-25 17:37:13
hammer68
спасибочки вроде работает но все таки хотель узнать а так почему не работало
Код: Выделить всё
${ipfw} add 00350 allow tcp from yy.yy.yy.yy to $cluster
${ipfw} add 00360 allow tcp from $cluster to yy.yy.yy.yy
${ipfw} add 00370 allow udp from yy.yy.yy.yy to $cluster
${ipfw} add 00380 allow udp from $cluster to yy.yy.yy.yy
Re: ipfw
Добавлено: 2008-03-25 17:56:32
hizel
а icmp вам чем не угодили?
что за дескриминация?
может красивее так?
Код: Выделить всё
$ipfw add allow ip from yy.yy.yy.yy to $cluster out via $LanIn
$ipfw add allow ip from yy.yy.yy.yy to $cluster in via $LanOut
$ipfw add allow ip from $cluster to yy.yy.yy.yy in via $LanIn
$ipfw add allow ip from $cluster to yy.yy.yy.yy out via $LanOut
кстати у вас там выше divert
он работает?
Re: ipfw
Добавлено: 2008-03-25 20:55:18
hammer68
Диверт работает, но его тоже надо убрать. У меня айпишники реальные стоят но из за маскарада их невидно из внешки что ни есть хорошо.
И еще вопрос после того как сделал так у меня перестало с clustera идти монтарование
из за чего это может быть ???
Код: Выделить всё
ipfw='/sbin/ipfw -q'
cluster="82.179.158.252"
LanIn="xx.xx.xx.xx"
LanOut="xx.xx.xx.xx"
${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0i
${ipfw} add allow all from $LanIn to $LanIn
${ipfw} add allow all from $cluster to any
${ipfw} add allow all from any to $cluster
${ipfw} add allow all from $LanOut to any
${ipfw} add allow all from any to $LanOut
${ipfw} add deny all from any to any
Re: ipfw
Добавлено: 2008-03-25 22:19:03
hizel
извините но меня все смущает
${ipfw} add divert natd all from any to any via rl0i
разве такие интерфесы бывают:
rl0i ?
и второе, что вы имеете ввиду под монтированием, nfs ?
Re: ipfw
Добавлено: 2008-03-26 0:30:58
hammer68
1 интерфейс rl0 по крайней мере пакеты по этому правилу идут
2 да у нис домашние каталоги монтируются с clustera но с такими правилами они не монтируютя почему я пока не понял
Re: ipfw
Добавлено: 2008-03-26 0:37:42
Alex Keda
покажи ifconfig
Re: ipfw
Добавлено: 2008-03-26 16:11:38
hammer68
Код: Выделить всё
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 82.179.158.249 netmask 0xfffffff8 broadcast 82.179.158.255
ether 00:e0:4c:39:28:bc
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 82.179.144.30 netmask 0xfffffff0 broadcast 82.179.144.31
ether 00:e0:4c:39:2d:c2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
вот ifconfig
Re: ipfw
Добавлено: 2008-03-26 17:01:29
hammer68
как мне кажется проблема должна решиться если открыть доступ к dns серверам кто че думает по этому поводу ???
Re: ipfw
Добавлено: 2008-03-26 17:32:06
hizel
если вы при монтировании
используете доменные имена, то да
Re: ipfw
Добавлено: 2008-03-26 17:44:41
hammer68
а инет убоать как ?
проксю (3128) закрыть ???
Re: ipfw
Добавлено: 2008-03-26 17:55:24
hizel
у вас там еще и прокса?
честно говоря я все больше запутался в вашей ситации (
Re: ipfw
Добавлено: 2008-03-27 12:23:31
hammer68
squid поднят на clustere поэтому его надо и прикрыть