Страница 1 из 2
IPFW+TABLE! HELP!!!
Добавлено: 2008-05-31 23:42:31
harmless
Доброе время суток!
Вот стала передо мной такая задача:
чтобы не засорять файл-скрипт правил фаерволла решил перенести все таблицы в отдельные файлы(table 1>>/etc/tables/1, ......)
но соткнулся вот с такой проблемой:
как заставить фаейволл читать айпи из файлов????
тобиш чтобы при вызове
Код: Выделить всё
ipfw table 1 add (тут не вводить кучу айпи, а написать путь к файлу /etc/tables/1 ...)
помогите плз
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-05-31 23:59:26
Alex Keda
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-01 0:01:18
abanamat
Код: Выделить всё
for i in `grep "^[1-9]" ipps.txt`
do
ipfw -q table 1 add ${i}
done
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-01 0:14:01
harmless
огромное спасибо!
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-01 0:18:50
harmless
Вообщето не сов сем понял что оно делает!
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-01 0:34:49
harmless
Все разобралсо!
Всем спс
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:16:35
Battary
Подскажите пожалуста , я на фрии недвно ешё новичек.
Какое надо писать правило что бы включить фильтрацию на 22 порт по ip
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:24:16
paradox
вам полностью закрыть что бы и сами по ssh незашли?
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:29:07
battery
paradox писал(а):вам полностью закрыть что бы и сами по ssh незашли?
Разрешить к примеру толко для ip 10.0.0.1
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:31:19
paradox
вы щас физически на сервере или по ssh ?
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:33:49
Battery
paradox писал(а):вы щас физически на сервере или по ssh ?
И так и так
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:40:01
paradox
Код: Выделить всё
ipfw add начало_нум pass tcp from нужный_ip to ваш_ip 22
ipfw add начало_нум deny tcp from any to ваш_ip 22 in
как то так
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:42:33
battery
paradox писал(а):Код: Выделить всё
ipfw add начало_нум pass tcp from нужный_ip to ваш_ip 22
ipfw add начало_нум deny tcp from any to ваш_ip 22 in
как то так
Прошу меня простить
что значит "начало_нум"
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:46:17
paradox
начало_нум это номер правила где то в начала
при это не забудте что где то у вас потом ниже должен быть ipfw add гдето_нум pass all from any to any
вообще фаер лучще учить
там в двух командах не обяснишь всю логику
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 10:49:04
battery
paradox писал(а):
начало_нум это номер правила где то в начала
при это не забудте что где то у вас потом ниже должен быть ipfw add гдето_нум pass all from any to any
вообще фаер лучще учить
там в двух командах не обяснишь всю логику
спасибо большое за помощь
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-06-10 21:36:03
manefesto
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 11:39:08
dimidrol80
маленький вопрос по теме как для команды (ipfw table 1 ip_адрес ) указать диапазон адресов например 10.0.0.20-10.0.0.127 ети адреса зарезервированы для пользователей
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 11:44:38
zingel
есть такая штука, CIDR называется...
http://admin.vlady.ru/cidr.htm
нужные под маску и укажите...
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 13:34:49
dimidrol80
возможно меня не правильно поняли я про то что у меня есть сеть класа А 10.0.0.0 маска подсети 255.255.255.0 или /24 кому как удобнее я хочю в добавить в IPFW TABLE 1 всех пользователей которым DHCP сервер раздает адреса с 10.0.0.20 по 10.0.0.127 остальные адреса от 10.0.0.1 до 10.0.0.20 и 10.0.0.128-254 используются серверами, админами и руководством которые в ограничении не нуждаются
поетому вопрос как задать етот диапазон в ipfw table №1 посредством CIDR я не уверен так как если я указываю к примеру 10.0.0.20/25 то диапазон адресов будет от 10.0.0.1 до 10.0.0.126 адреса 1-20 мне не надо ограничевать?
PS. DHCP на винде он же контролер домена Фря выступает в роли шлюза и прокси сервера включена поддержка NAT
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 13:38:50
zingel
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 14:21:44
dimidrol80
Код: Выделить всё
${FwCMD} add 2 pipe 1 ip from table\(1\) to any in via ${LanIn}
${FwCMD} pipe 1 config mask src-ip 0xffffff00 bw 64kbit/s
${FwCMD} add 2 pipe 2 ip from table\(2\) to any in via ${LanIn}
${FwCMD} pipe 2 config mask src-ip 0xffffff00 bw 10mbit/s
${FwCMD} add 2 pipe 3 ip from any to table\(1\) in
${FwCMD} pipe 3 config mask dst-ip 0xffffff00 bw 64kbit/s
вручную заносить в табле 1 107 ip адресов?
Код: Выделить всё
${FwCMD} table 1 add 10.0.0.20
......................................
${FwCMD} table 1 add 10.0.0.127
или можна сделать чтото вида
abanamat писал(а):for i in `grep "^[1-9]" ipps.txt`do ipfw -q table 1 add ${i}done
или так токо для ipfw table (извиняюсь в скриптах не силен)
# запускаем счётчик
i=4
# цикл по $i
while [ $i != 252 ]
do
# добавляем трубу для IP адреса
${FwCMD} add pipe $i ip from not ${NetIn}/${NetMask} to 192.168.20.${i}
# проверяем - часом не мой ли это IP
if [ $i -eq 13 -o $i -eq 22 ]
then
# мой инет
))
${FwCMD} pipe $i config bw 100Mbit/s
else
# не мой IP - режем скорость
${FwCMD} pipe $i config bw 64000 bit/s
fi
# увеличиваем $i на единичку
i=$(($i+1))
done
пожалеста обясните как ето сделать
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 16:21:37
Rita
battery писал(а):paradox писал(а):вам полностью закрыть что бы и сами по ssh незашли?
Разрешить к примеру толко для ip 10.0.0.1
Код: Выделить всё
${fw} add allow tcp from 10.0.0.1 to me 22 via vlan10 #здесь нужно указать ваш интерфейс
${fw} add deny all from any to me
2
dimidrol
Что-то понагородили здесь, ужас, какие то скрипты
. Проще надо жить граждане.Надо записать всего 4 подсети ему :
10.0.0.20/30
10.0.0.24/29
10.0.0.32/27
10.0.0.64/26
И все! И будет тебе счастье от с 10.0.0.20 по 10.0.0.127
п.с.
dimidrol научитесь пользоваться яндексом, на краний случай, и поищи калькулятор для вычисления масок, гарантирую, жизнь станет проще.
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 16:24:59
paradox
а ipcalc в портах для кого
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 16:42:03
Rita
paradox писал(а):а ipcalc в портах для кого
Для особенных.
А, например, для виндовых серверов как высчитать маску? Лезть на соседнюю машину с бсд? Проще калькулятор открыть у себя на рабочей. Уверена что у большинства здесь рабочие виндовые машины.
Re: IPFW+TABLE! HELP!!!
Добавлено: 2008-07-07 16:46:30
zingel
у большинства здесь рабочие виндовые машины.
Код: Выделить всё
[root@zingel /]# date && uname -a; ls /usr/home/beastie/.xinitrc
Mon Jul 7 16:46:02 EEST 2008
FreeBSD zingel.dubki.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Wed Apr 23 22:39:55 EEST 2008 root@zingel.dubki.ru:/usr/obj/usr/src/sys/BEASTIE i386
/usr/home/beastie/.xinitrc