The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPFW: описание сети"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPFW: описание сети"  
Сообщение от Dr_Zlo email(ok) on 07-Окт-06, 13:47 
216.74.158.xxx TCP ports 80, 7012, 7013 and 7500-7600
Как для IPFW описать эти IP адреса и порты?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IPFW: описание сети"  
Сообщение от universite email(ok) on 07-Окт-06, 15:22 
>216.74.158.xxx TCP ports 80, 7012, 7013 and 7500-7600
>Как для IPFW описать эти IP адреса и порты?

man ipfw

     ports: {port | port-port}[,ports]
             For protocols which support port numbers (such as TCP and UDP),
             optional ports may be specified as one or more ports or port
             ranges, separated by commas but no spaces, and an optional not
             operator.  The `-' notation specifies a range of ports (including
             boundaries).

Вот один из вариантов:

ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW: описание сети"  
Сообщение от Dr_Zlo (??) on 07-Окт-06, 16:03 
>>216.74.158.xxx TCP ports 80, 7012, 7013 and 7500-7600
>>Как для IPFW описать эти IP адреса и порты?
>
>man ipfw
>
>     ports: {port | port-port}[,ports]
>            
> For protocols which support port numbers (such as TCP and
>UDP),
>            
> optional ports may be specified as one or more ports
>or port
>            
> ranges, separated by commas but no spaces, and an optional
>not
>            
> operator.  The `-' notation specifies a range of ports
>(including
>            
> boundaries).
>
>Вот один из вариантов:
>
>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80


А будет ли, например, порт 80 считаться только на этот IP? Чтобы другие адреса с таким портом не входили в эту запись?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPFW: описание сети"  
Сообщение от IASB on 08-Окт-06, 19:05 
>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>
>
>А будет ли, например, порт 80 считаться только на этот IP? Чтобы
>другие адреса с таким портом не входили в эту запись?


сначала надо поставить задачу. Нарисовать на бумажке:

Кто именно ??? Какие IP ???  --- ломятся ---> на 216.74.158.0/24 7500-7600,7012-7013,80

определились

теперь пишем правила

- разрешить <кому именно> ломиться на 216.74.158.0/24 7500-7600,7012-7013,80
- запретить всем остальным ломиться на 216.74.158.0/24  на люьые порты

правила выполняются в соответствии с из номером - то есть по ipfw show по номерам

Опять повторим - задача поставлена некорректно - НЕТ ОПИСАНИЯ ПОЛНОЙ СХЕМЫ

>другие адреса с таким портом не входили в эту запись?

то что написано в правиле то и выполняется.

ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80

это мы разрешаем

потом надо запретить

ipfw add 3010 deny ip from any to 216.74.158.0/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW: описание сети"  
Сообщение от Dr_Zlo (??) on 09-Окт-06, 16:16 
>>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>>
>>
>>А будет ли, например, порт 80 считаться только на этот IP? Чтобы
>>другие адреса с таким портом не входили в эту запись?
>
>
>сначала надо поставить задачу. Нарисовать на бумажке:
>
>Кто именно ??? Какие IP ???  --- ломятся ---> на 216.74.158.0/24 7500-7600,7012-7013,80
>
>определились
>
>теперь пишем правила
>
>- разрешить <кому именно> ломиться на 216.74.158.0/24 7500-7600,7012-7013,80
>- запретить всем остальным ломиться на 216.74.158.0/24  на люьые порты
>
>правила выполняются в соответствии с из номером - то есть по ipfw
>show по номерам
>
>Опять повторим - задача поставлена некорректно - НЕТ ОПИСАНИЯ ПОЛНОЙ СХЕМЫ
>
>
>
>>другие адреса с таким портом не входили в эту запись?
>
>то что написано в правиле то и выполняется.
>
>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>
>это мы разрешаем
>
>потом надо запретить
>
>ipfw add 3010 deny ip from any to 216.74.158.0/24

Вот мои правила:
#!/bin/sh
ipfw -f flush

#Описание сетей
altair_net="10.4.0.0/16,89.107.196.35,89.107.196.36,89.107.196.51"

#Интересует вот эта сеть: как её правильно описать ТОЛЬКО для этого правила?
При чём другие компьютеры должны пользоваться интернетом без проблем.
anarchy_net="216.74.158.0/24"

#Маршруты
route add 89.107.196.35 10.8.0.1
route add 89.107.196.36 10.8.0.1
route add 89.107.196.51 10.8.0.1
route add 89.107.196.52 10.8.0.1
route add 89.107.196.53 10.8.0.1
route add 89.107.196.58 10.8.0.1
route add 10.5.252.240 10.8.0.1
route add 10.0.0.0 10.8.0.1

#Нат
ipfw add 10 allow ip from 192.168.1.0/24 to 192.168.1.0/24 via vr0
ipfw add 20 pass tcp from any to 192.168.1.200 3389
ipfw add 30 allow ${altair_net} from 192.168.1.0/24 to 192.168.1.0/24 via vr0
ipfw add 40 divert natd ip from 192.168.1.0/24 to any via rl0
ipfw add 50 divert natd ip from any to 194.186.250.214 via rl0
ipfw add 60 divert natd ip from 192.168.1.0/24 to any via rl1
ipfw add 70 divert natd ip from any to 89.107.197.82 via rl1
ipfw add 80 divert 8778 ip from 192.168.1.0/24 to any via rl2
ipfw add 90 divert 8778 ip from any to 10.8.251.235 via rl2

ipfw add 65500 allow all from any to any

#Правила для первого компа
ipfw add 100 deny ip from any to 192.168.1.1
ipfw add 103 skipto 110 ip from ${altair_net} to 192.168.1.1
ipfw add 103 skipto 110 ip from ${anarchy_net} to 192.168.1.1
ipfw add 104 count ip from any to 192.168.1.1 via vr0
ipfw add 105 count ip from 192.168.1.1 to any via vr0
ipfw add 106 skipto 200 ip from any to 192.168.1.1
ipfw add 111 count ip from ${altair_net} to 192.168.1.1 via vr0
ipfw add 112 count ip from ${anarchy_net} to 192.168.1.1 via vr0

И так далее для остальных компов.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPFW: описание сети"  
Сообщение от universite email(ok) on 09-Окт-06, 16:35 
>>>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>>>
>>>
>>>А будет ли, например, порт 80 считаться только на этот IP? Чтобы
>>>другие адреса с таким портом не входили в эту запись?
>>
>>
>>сначала надо поставить задачу. Нарисовать на бумажке:
>>
>>Кто именно ??? Какие IP ???  --- ломятся ---> на 216.74.158.0/24 7500-7600,7012-7013,80
>>
>>определились
>>
>>теперь пишем правила
>>
>>- разрешить <кому именно> ломиться на 216.74.158.0/24 7500-7600,7012-7013,80
>>- запретить всем остальным ломиться на 216.74.158.0/24  на люьые порты
>>
>>правила выполняются в соответствии с из номером - то есть по ipfw
>>show по номерам
>>
>>Опять повторим - задача поставлена некорректно - НЕТ ОПИСАНИЯ ПОЛНОЙ СХЕМЫ
>>
>>
>>
>>>другие адреса с таким портом не входили в эту запись?
>>
>>то что написано в правиле то и выполняется.
>>
>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>>
>>это мы разрешаем
>>
>>потом надо запретить
>>
>>ipfw add 3010 deny ip from any to 216.74.158.0/24
>
>Вот мои правила:
>#!/bin/sh
>ipfw -f flush
>
>#Описание сетей
>altair_net="10.4.0.0/16,89.107.196.35,89.107.196.36,89.107.196.51"

altair_net="10.4.0.0/16 or 89.107.196.35 or 89.107.196.36 or 89.107.196.51"
Внизу подправьте использова

>
>#Интересует вот эта сеть: как её правильно описать ТОЛЬКО для этого правила?
>
>При чём другие компьютеры должны пользоваться интернетом без проблем.
>anarchy_net="216.74.158.0/24"

>
>#Маршруты
>route add 89.107.196.35 10.8.0.1
>route add 89.107.196.36 10.8.0.1
>route add 89.107.196.51 10.8.0.1
>route add 89.107.196.52 10.8.0.1
>route add 89.107.196.53 10.8.0.1
>route add 89.107.196.58 10.8.0.1
>route add 10.5.252.240 10.8.0.1
>route add 10.0.0.0 10.8.0.1

Статик роуты прописываются в rc.conf

>
>#Правила для первого компа
>ipfw add 100 deny ip from any to 192.168.1.1
>ipfw add 103 skipto 110 ip from ${altair_net} to 192.168.1.1
>ipfw add 103 skipto 110 ip from ${anarchy_net} to 192.168.1.1
>ipfw add 104 count ip from any to 192.168.1.1 via vr0
>ipfw add 105 count ip from 192.168.1.1 to any via vr0
>ipfw add 106 skipto 200 ip from any to 192.168.1.1
>ipfw add 111 count ip from ${altair_net} to 192.168.1.1 via vr0
>ipfw add 112 count ip from ${anarchy_net} to 192.168.1.1 via vr0
>
Слишком сложно. Да и непонятно, что вы собрались считать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPFW: описание сети"  
Сообщение от Dr_Zlo (??) on 09-Окт-06, 16:50 
>>>>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>>>>
>>>>
>>>>А будет ли, например, порт 80 считаться только на этот IP? Чтобы
>>>>другие адреса с таким портом не входили в эту запись?
>>>
>>>
>>>сначала надо поставить задачу. Нарисовать на бумажке:
>>>
>>>Кто именно ??? Какие IP ???  --- ломятся ---> на 216.74.158.0/24 7500-7600,7012-7013,80
>>>
>>>определились
>>>
>>>теперь пишем правила
>>>
>>>- разрешить <кому именно> ломиться на 216.74.158.0/24 7500-7600,7012-7013,80
>>>- запретить всем остальным ломиться на 216.74.158.0/24  на люьые порты
>>>
>>>правила выполняются в соответствии с из номером - то есть по ipfw
>>>show по номерам
>>>
>>>Опять повторим - задача поставлена некорректно - НЕТ ОПИСАНИЯ ПОЛНОЙ СХЕМЫ
>>>
>>>
>>>
>>>>другие адреса с таким портом не входили в эту запись?
>>>
>>>то что написано в правиле то и выполняется.
>>>
>>>ipfw add 3000 allow tcp from any to 216.74.158.0/24 7500-7600,7012-7013,80
>>>
>>>это мы разрешаем
>>>
>>>потом надо запретить
>>>
>>>ipfw add 3010 deny ip from any to 216.74.158.0/24
>>
>>Вот мои правила:
>>#!/bin/sh
>>ipfw -f flush
>>
>>#Описание сетей
>>altair_net="10.4.0.0/16,89.107.196.35,89.107.196.36,89.107.196.51"
>
>altair_net="10.4.0.0/16 or 89.107.196.35 or 89.107.196.36 or 89.107.196.51"
>Внизу подправьте использова
>
>>
>>#Интересует вот эта сеть: как её правильно описать ТОЛЬКО для этого правила?
>>
>>При чём другие компьютеры должны пользоваться интернетом без проблем.
>>anarchy_net="216.74.158.0/24"
>
>>
>>#Маршруты
>>route add 89.107.196.35 10.8.0.1
>>route add 89.107.196.36 10.8.0.1
>>route add 89.107.196.51 10.8.0.1
>>route add 89.107.196.52 10.8.0.1
>>route add 89.107.196.53 10.8.0.1
>>route add 89.107.196.58 10.8.0.1
>>route add 10.5.252.240 10.8.0.1
>>route add 10.0.0.0 10.8.0.1
>
>Статик роуты прописываются в rc.conf
>
>>
>>#Правила для первого компа
>>ipfw add 100 deny ip from any to 192.168.1.1
>>ipfw add 103 skipto 110 ip from ${altair_net} to 192.168.1.1
>>ipfw add 103 skipto 110 ip from ${anarchy_net} to 192.168.1.1
>>ipfw add 104 count ip from any to 192.168.1.1 via vr0
>>ipfw add 105 count ip from 192.168.1.1 to any via vr0
>>ipfw add 106 skipto 200 ip from any to 192.168.1.1
>>ipfw add 111 count ip from ${altair_net} to 192.168.1.1 via vr0
>>ipfw add 112 count ip from ${anarchy_net} to 192.168.1.1 via vr0
>>
>Слишком сложно. Да и непонятно, что вы собрались считать?


104,111,112 правила считаю различные категории трафика.
104 - весь инет, за исключением:
111 - льготная сеть провайдера
112 - сеть онлайновой игрухи.

Требуется правильно "отфильтровать" трафик этой игрухи.
В суппорте мне сказали, что она использует адреса вида 216.74.158.х и порты 7500-7600,7012-7013,80
Вот и всё, ничего сложного.
И вопрос: как это правильно сделать?
Так будет правильно?
anarchy_net="216.74.158.0/24 7500-7600,7012-7013,80"

Я просто что опасаюсь: порты 7500-7600,7012-7013 уникальные, а вот 80 порт несовсем)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру