Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Пинятно 15.06.04 12:27 Число просмотров: 1952
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
Спасибо за 2 предыдущих ответа.
Давно бьюсь, не могу нормально (чтобы самому нравились) настроить правила IPFW . Нормально ли я их настроил или ламерски??? Мне лично не нравится одна строчка ("ВОТ ОНА")
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА
net1="192............."
net2="192............."
net3="192............."
${fwcmd} add allow ip from me to ${net1} via xl0
${fwcmd} add allow ip from me to ${net2} via xl0
${fwcmd} add allow ip from me to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to me via xl0
${fwcmd} add allow ip from ${net2} to me via xl0
${fwcmd} add allow ip from ${net3} to me via xl0
ISP="195.161.............."
${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
${fwcmd} add allow udp from ${ISP} to 127.0.0.1
admin="192............."
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
${fwcmd} add deny log ip from any to any
Unix#
|
|
<networking>
|
Как добавить статический маршрут? 15.06.04 08:01
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
|
Необходимо добавить в FreeBSD 5.1. статический маршрут, т.е. что бы при перезагрузке он не терялся, аналог в windows route add -p ...
|
|
добавляешь в /etc/rc.local 15.06.04 11:58
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
route add <ip>/<mask> <gateway_ip>
|
| |
Я пробывал добавлять в rc.conf 15.06.04 12:01
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
> route add <ip>/<mask> <gateway_ip>
Но при этом у меня во время запуска эта строка вызвается 3-4 раза, а rc.local у меня нет
|
| | |
Дык создай этот файл. По умолчанию его нет.
15.06.04 17:00
Автор: TARASA <Taras L. Stadnik> Статус: Member
|
> > route add <ip>/<mask> <gateway_ip>
>
> Но при этом у меня во время запуска эта строка вызвается
> 3-4 раза, а rc.local у меня нет
Дык создай этот файл. По умолчанию его нет.
В нем пропиши route add ... с полным путем.
а в rc.conf route вообще нечего делать
|
| | |
вот почему 15.06.04 12:15
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
rc.conf это файл общих настроек системы, но никак не файл для запуска команд (он подгружается в тело других запускаемых скриптов, поэтому выполняется он у тебя несколько раз)
если нет /etc/rc.local - создай, на всякий слуйчай сделай ему chmod +x
|
| | | |
Пинятно 15.06.04 12:27
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
Спасибо за 2 предыдущих ответа.
Давно бьюсь, не могу нормально (чтобы самому нравились) настроить правила IPFW . Нормально ли я их настроил или ламерски??? Мне лично не нравится одна строчка ("ВОТ ОНА")
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА
net1="192............."
net2="192............."
net3="192............."
${fwcmd} add allow ip from me to ${net1} via xl0
${fwcmd} add allow ip from me to ${net2} via xl0
${fwcmd} add allow ip from me to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to me via xl0
${fwcmd} add allow ip from ${net2} to me via xl0
${fwcmd} add allow ip from ${net3} to me via xl0
ISP="195.161.............."
${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
${fwcmd} add allow udp from ${ISP} to 127.0.0.1
admin="192............."
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
${fwcmd} add deny log ip from any to any
Unix#
|
| | | | |
неправильно 15.06.04 14:54
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 15.06.04 14:57 Количество правок: 1
|
> #!/bin/sh -
> fwcmd="/sbin/ipfw"
>
> ${fwcmd} flush -q
> ${fwcmd} add allow ip from any to any via lo0
>
> ${fwcmd} add divert natd ip from any to any in via tun0
> ${fwcmd} add divert natd ip from admin to any out via tun0
зачем диверты так извращенно? достаточно:
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to admin
> ${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА
это можно убрать
> net1="192............."
> net2="192............."
> net3="192............."
> ${fwcmd} add allow ip from me to ${net1} via xl0
> ${fwcmd} add allow ip from me to ${net2} via xl0
> ${fwcmd} add allow ip from me to ${net3} via xl0
> ${fwcmd} add allow ip from ${net1} to me via xl0
> ${fwcmd} add allow ip from ${net2} to me via xl0
> ${fwcmd} add allow ip from ${net3} to me via xl0
>
> ISP="195.161.............."
> ${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
> ${fwcmd} add allow udp from ${ISP} to 127.0.0.1
тут тоже никакой логигки нет
127.0.0.0/8 используется только для локального траффика, так что использование этих адресов совместно с другими в правилах абсолютно бессмысленно
> admin="192............."
> ${fwcmd} add allow tcp from ${admin} to any 25
> ${fwcmd} add allow tcp from any 25 to ${admin}
> ${fwcmd} add allow tcp from any 110 to ${admin}
> ${fwcmd} add allow tcp from ${admin} to any 110
до этих правил дело совсем не дойдет, потому как часть пакетов будет обрабатываться правилами выше (net1,net2,net3 - локальный траффик и дивертами, если dst ip не 192......)
как я понял это простые счетчики траффика, поэтому эти правила должны быть не allow, а count и расположить их нужно ДО дивертов и ПОСЛЕ отсечения локального траффика (если конечно не нужно считать траффик с локальных SMTP и POP3)
> ${fwcmd} add deny log ip from any to any
> Unix#
общая схема такая - сначала описывается траффик по интерфесу lo0
потом разрешается локальный траффик (net1,net2,net3)
потом идут счетчики трафика скачаного с инета, а потом диверты
|
| | | | | |
че-то не работает 16.06.04 09:30
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
Че-то не работает преобразование адресов, вообще отказывается работать, тербует условия form any to any, тогда работает
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
net1="192........./24"
net2="192........./24"
net3="192........../24"
unix="192.........."
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0
ISP="195.1........."
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me
admin="192........."
#${fwcmd} add divert natd ip from any to any via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
#${fwcmd} add divert natd ip from any to ${admin} in via tun0
#${fwcmd} add divert natd ip from any to me in via tun0
#${fwcmd} add divert natd ip from me to any out via tun0
${fwcmd} add allow ip from any to ${admin}
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
#${fwcmd} add allow tcp from any to me http,22 via tun0
#${fwcmd} add allow tcp from me http,22 to any via tun0
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
${fwcmd} add deny log ip from any to any
Unix#
|
| | | | | | |
Не читай предыдущее, вот так работает. 16.06.04 10:05
Автор: IgorMan2 Статус: Незарегистрированный пользователь
|
Правила почты не для подсчета, и они не заменяются другими правилами
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
# loopback rules
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
# internal network rules
net1="192......../24"
net2="192......../24"
net3="192......../24"
unix="192......"
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0
# domain resolv 4 bind
ISP="195............"
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me
# direct channel for admin 2 internet
admin="192.........."
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
# proxy Squid rules
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
# Web(4 testing) and ssh rules
ВОТ ЭТО ПРАВИЛО ВЫЗЫВАЕТ ОПАСЕНИЕ. БУДЕТ ЛИ ОНО РАБОТАТЬ ПРИ МОЕМ ДОЗВОНЕ НА UNIX из ДОМА, ведь тогда образуется канал ppp0, а правила разрешают только tun0
${fwcmd} add allow tcp from any to me http,22 via tun0
${fwcmd} add allow tcp from me http,22 to any via tun0
# Enable mail rules 4 admin
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
# Log rules 4 other
${fwcmd} add deny log ip from any to any
$
|
|
|
подробно о проекте
Анализ криптографических сетевых...
