Правила почты не для подсчета, и они не заменяются другими правилами
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
# loopback rules
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
# internal network rules
net1="192......../24"
net2="192......../24"
net3="192......../24"
unix="192......"
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0
# domain resolv 4 bind
ISP="195............"
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me
# direct channel for admin 2 internet
admin="192.........."
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
# proxy Squid rules
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
# Web(4 testing) and ssh rules
ВОТ ЭТО ПРАВИЛО ВЫЗЫВАЕТ ОПАСЕНИЕ. БУДЕТ ЛИ ОНО РАБОТАТЬ ПРИ МОЕМ ДОЗВОНЕ НА UNIX из ДОМА, ведь тогда образуется канал ppp0, а правила разрешают только tun0
${fwcmd} add allow tcp from any to me http,22 via tun0
${fwcmd} add allow tcp from me http,22 to any via tun0
# Enable mail rules 4 admin
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
# Log rules 4 other
${fwcmd} add deny log ip from any to any
$
> > route add <ip>/<mask> <gateway_ip> > > Но при этом у меня во время запуска эта строка вызвается > 3-4 раза, а rc.local у меня нет Дык создай этот файл. По умолчанию его нет.
В нем пропиши route add ... с полным путем.
а в rc.conf route вообще нечего делать
вот почему15.06.04 12:15 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
rc.conf это файл общих настроек системы, но никак не файл для запуска команд (он подгружается в тело других запускаемых скриптов, поэтому выполняется он у тебя несколько раз)
если нет /etc/rc.local - создай, на всякий слуйчай сделай ему chmod +x
Спасибо за 2 предыдущих ответа.
Давно бьюсь, не могу нормально (чтобы самому нравились) настроить правила IPFW . Нормально ли я их настроил или ламерски??? Мне лично не нравится одна строчка ("ВОТ ОНА")
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА
net1="192............."
net2="192............."
net3="192............."
${fwcmd} add allow ip from me to ${net1} via xl0
${fwcmd} add allow ip from me to ${net2} via xl0
${fwcmd} add allow ip from me to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to me via xl0
${fwcmd} add allow ip from ${net2} to me via xl0
${fwcmd} add allow ip from ${net3} to me via xl0
ISP="195.161.............."
${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain
${fwcmd} add allow udp from ${ISP} to 127.0.0.1
admin="192............."
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
> #!/bin/sh - > fwcmd="/sbin/ipfw" > > ${fwcmd} flush -q > ${fwcmd} add allow ip from any to any via lo0 > > ${fwcmd} add divert natd ip from any to any in via tun0 > ${fwcmd} add divert natd ip from admin to any out via tun0 зачем диверты так извращенно? достаточно:
${fwcmd} add divert natd ip from admin to any out via tun0
${fwcmd} add allow ip from any to admin
> ${fwcmd} add allow ip from any to any via tun0 <-------------------------- ВОТ ОНА это можно убрать
> net1="192............." > net2="192............." > net3="192............." > ${fwcmd} add allow ip from me to ${net1} via xl0 > ${fwcmd} add allow ip from me to ${net2} via xl0 > ${fwcmd} add allow ip from me to ${net3} via xl0 > ${fwcmd} add allow ip from ${net1} to me via xl0 > ${fwcmd} add allow ip from ${net2} to me via xl0 > ${fwcmd} add allow ip from ${net3} to me via xl0 > > ISP="195.161.............." > ${fwcmd} add allow udp from 127.0.0.1 to ${ISP} domain > ${fwcmd} add allow udp from ${ISP} to 127.0.0.1 тут тоже никакой логигки нет
127.0.0.0/8 используется только для локального траффика, так что использование этих адресов совместно с другими в правилах абсолютно бессмысленно
> admin="192............." > ${fwcmd} add allow tcp from ${admin} to any 25 > ${fwcmd} add allow tcp from any 25 to ${admin} > ${fwcmd} add allow tcp from any 110 to ${admin} > ${fwcmd} add allow tcp from ${admin} to any 110 до этих правил дело совсем не дойдет, потому как часть пакетов будет обрабатываться правилами выше (net1,net2,net3 - локальный траффик и дивертами, если dst ip не 192......)
как я понял это простые счетчики траффика, поэтому эти правила должны быть не allow, а count и расположить их нужно ДО дивертов и ПОСЛЕ отсечения локального траффика (если конечно не нужно считать траффик с локальных SMTP и POP3)
> ${fwcmd} add deny log ip from any to any > Unix#
общая схема такая - сначала описывается траффик по интерфесу lo0
потом разрешается локальный траффик (net1,net2,net3)
потом идут счетчики трафика скачаного с инета, а потом диверты
че-то не работает16.06.04 09:30 Автор: IgorMan2 Статус: Незарегистрированный пользователь
Че-то не работает преобразование адресов, вообще отказывается работать, тербует условия form any to any, тогда работает
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
net1="192........./24"
net2="192........./24"
net3="192........../24"
unix="192.........."
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0
ISP="195.1........."
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me
admin="192........."
#${fwcmd} add divert natd ip from any to any via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
#${fwcmd} add divert natd ip from any to ${admin} in via tun0
#${fwcmd} add divert natd ip from any to me in via tun0
#${fwcmd} add divert natd ip from me to any out via tun0
${fwcmd} add allow ip from any to ${admin}
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
#${fwcmd} add allow tcp from any to me http,22 via tun0
#${fwcmd} add allow tcp from me http,22 to any via tun0
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
${fwcmd} add deny log ip from any to any
Unix#
Не читай предыдущее, вот так работает.16.06.04 10:05 Автор: IgorMan2 Статус: Незарегистрированный пользователь
Правила почты не для подсчета, и они не заменяются другими правилами
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} flush -q
# loopback rules
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
# internal network rules
net1="192......../24"
net2="192......../24"
net3="192......../24"
unix="192......"
${fwcmd} add allow ip from ${unix} to ${net1} via xl0
${fwcmd} add allow ip from ${unix} to ${net2} via xl0
${fwcmd} add allow ip from ${unix} to ${net3} via xl0
${fwcmd} add allow ip from ${net1} to ${unix} via xl0
${fwcmd} add allow ip from ${net2} to ${unix} via xl0
${fwcmd} add allow ip from ${net3} to ${unix} via xl0
# domain resolv 4 bind
ISP="195............"
${fwcmd} add allow udp from me to ${ISP} domain
${fwcmd} add allow udp from ${ISP} domain to me
# direct channel for admin 2 internet
admin="192.........."
${fwcmd} add divert natd ip from any to any in via tun0
${fwcmd} add divert natd ip from ${admin} to any out via tun0
# proxy Squid rules
${fwcmd} add allow tcp from me to any http,pop3,smtp,ftp,7777,8080 via tun0
${fwcmd} add allow tcp from any http,pop3,smtp,ftp,7777,8080 to me via tun0
# Web(4 testing) and ssh rules
ВОТ ЭТО ПРАВИЛО ВЫЗЫВАЕТ ОПАСЕНИЕ. БУДЕТ ЛИ ОНО РАБОТАТЬ ПРИ МОЕМ ДОЗВОНЕ НА UNIX из ДОМА, ведь тогда образуется канал ppp0, а правила разрешают только tun0
${fwcmd} add allow tcp from any to me http,22 via tun0
${fwcmd} add allow tcp from me http,22 to any via tun0
# Enable mail rules 4 admin
${fwcmd} add allow tcp from ${admin} to any 25
${fwcmd} add allow tcp from any 25 to ${admin}
${fwcmd} add allow tcp from any 110 to ${admin}
${fwcmd} add allow tcp from ${admin} to any 110
# Log rules 4 other
${fwcmd} add deny log ip from any to any
$
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
