информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100 		Атака на InternetСетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный сбой Azure и других сервисов... 
 Серьезный сбой AWS положил множество... 
 Фишинговая атака на Python-разработчиков 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Как добавить статический маршрут? 15.06.04 08:01  
Автор: IgorMan2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Необходимо добавить в FreeBSD 5.1. статический маршрут, т.е. что бы при перезагрузке он не терялся, аналог в windows route add -p ...
добавляешь в /etc/rc.local 15.06.04 11:58  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
route add <ip>/<mask> <gateway_ip>
Я пробывал добавлять в rc.conf 15.06.04 12:01  
Автор: IgorMan2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> route add <ip>/<mask> <gateway_ip>

Но при этом у меня во время запуска эта строка вызвается 3-4 раза, а rc.local у меня нет
Дык создай этот файл. По умолчанию его нет. 15.06.04 17:00  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
> > route add <ip>/<mask> <gateway_ip>
>
> Но при этом у меня во время запуска эта строка вызвается
> 3-4 раза, а rc.local у меня нет
Дык создай этот файл. По умолчанию его нет.
В нем пропиши route add ... с полным путем.
а в rc.conf route вообще нечего делать
вот почему 15.06.04 12:15  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
rc.conf это файл общих настроек системы, но никак не файл для запуска команд (он подгружается в тело других запускаемых скриптов, поэтому выполняется он у тебя несколько раз)
если нет /etc/rc.local - создай, на всякий слуйчай сделай ему chmod +x
Пинятно 15.06.04 12:27  
Автор: IgorMan2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо за 2 предыдущих ответа.
Давно бьюсь, не могу нормально (чтобы самому нравились) настроить правила IPFW . Нормально ли я их настроил или ламерски??? Мне лично не нравится одна строчка ("ВОТ ОНА")

#!/bin/sh -
fwcmd="/sbin/ipfw"

${fwcmd} flush -q
${fwcmd} add allow ip from any to any via lo0

${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from admin to any out via tun0

${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА

net1="192............."
net2="192............."
net3="192............."
${fwcmd} add allow ip from me to ${net1} via xl0
${fwcmd} add allow ip from me to ${net2} via xl0
${fwcmd} add allow ip from me to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to me via xl0
${fwcmd} add allow ip from ${net2} to me via xl0
${fwcmd} add allow ip from ${net3} to me via xl0

ISP="195.161.............."
${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
${fwcmd} add allow udp from ${ISP} to 127.0.0.1

admin="192............."
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110

${fwcmd} add deny log ip from any to any
Unix#
неправильно 15.06.04 14:54  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 15.06.04 14:57  Количество правок: 1
<"чистая" ссылка>
> #!/bin/sh -
> fwcmd="/sbin/ipfw"
>
> ${fwcmd} flush -q
> ${fwcmd} add allow ip from any to any via lo0
>
> ${fwcmd} add divert natd ip from any to any in via tun0
> ${fwcmd} add divert natd ip from admin to any out via tun0
зачем диверты так извращенно? достаточно:
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to admin

> ${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА
это можно убрать

> net1="192............."
> net2="192............."
> net3="192............."
> ${fwcmd} add allow ip from me to ${net1} via xl0
> ${fwcmd} add allow ip from me to ${net2} via xl0
> ${fwcmd} add allow ip from me to ${net3} via xl0
> ${fwcmd} add allow ip from ${net1} to me via xl0
> ${fwcmd} add allow ip from ${net2} to me via xl0
> ${fwcmd} add allow ip from ${net3} to me via xl0
>
> ISP="195.161.............."
> ${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
> ${fwcmd} add allow udp from ${ISP} to 127.0.0.1
тут тоже никакой логигки нет
127.0.0.0/8 используется только для локального траффика, так что использование этих адресов совместно с другими в правилах абсолютно бессмысленно

> admin="192............."
> ${fwcmd} add allow tcp from ${admin} to any 25
> ${fwcmd} add allow tcp from any 25 to ${admin}
> ${fwcmd} add allow tcp from any 110 to ${admin}
> ${fwcmd} add allow tcp from ${admin} to any 110
до этих правил дело совсем не дойдет, потому как часть пакетов будет обрабатываться правилами выше (net1,net2,net3 - локальный траффик и дивертами, если dst ip не 192......)
как я понял это простые счетчики траффика, поэтому эти правила должны быть не allow, а count и расположить их нужно ДО дивертов и ПОСЛЕ отсечения локального траффика (если конечно не нужно считать траффик с локальных SMTP и POP3)

> ${fwcmd} add deny log ip from any to any
> Unix#

общая схема такая - сначала описывается траффик по интерфесу lo0
потом разрешается локальный траффик (net1,net2,net3)
потом идут счетчики трафика скачаного с инета, а потом диверты
че-то не работает 16.06.04 09:30  
Автор: IgorMan2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Че-то не работает преобразование адресов, вообще отказывается работать, тербует условия form any to any, тогда работает
#!/bin/sh -
fwcmd="/sbin/ipfw"

${fwcmd} flush -q
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any

net1="192........./24"
net2="192........./24"
net3="192........../24"
unix="192.........."
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0

ISP="195.1........."
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me

admin="192........."
#${fwcmd} add divert natd ip from any to any via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
#${fwcmd} add divert natd ip from any to ${admin} in via tun0
#${fwcmd} add divert natd ip from any to me in via tun0
#${fwcmd} add divert natd ip from me to any out via tun0
${fwcmd} add allow ip from any to ${admin}

${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
#${fwcmd} add allow tcp from any to me http,22 via tun0
#${fwcmd} add allow tcp from me http,22 to any via tun0


${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110

${fwcmd} add deny log ip from any to any
Unix#
Не читай предыдущее, вот так работает. 16.06.04 10:05  
Автор: IgorMan2 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Правила почты не для подсчета, и они не заменяются другими правилами
#!/bin/sh -
fwcmd="/sbin/ipfw"

${fwcmd} flush -q
# loopback rules
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any

# internal network rules
net1="192......../24"
net2="192......../24"
net3="192......../24"
unix="192......"
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0

# domain resolv 4 bind
ISP="195............"
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me

# direct channel for admin 2 internet
admin="192.........."
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0

# proxy Squid rules
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0

# Web(4 testing) and ssh rules
ВОТ ЭТО ПРАВИЛО ВЫЗЫВАЕТ ОПАСЕНИЕ. БУДЕТ ЛИ ОНО РАБОТАТЬ ПРИ МОЕМ ДОЗВОНЕ НА UNIX из ДОМА, ведь тогда образуется канал ppp0, а правила разрешают только tun0
${fwcmd} add allow tcp from any to me http,22 via tun0
${fwcmd} add allow tcp from me http,22 to any via tun0

# Enable mail rules 4 admin
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110

# Log rules 4 other
${fwcmd} add deny log ip from any to any
$
1

Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach