|
IPFW Firewall
Помогите мне прожалюста . Я устоновил ядро заново и все работет.
Но я допустим пишу такое правило ipfw add 70 allow ip from 192.168.11.69 to any via em0 пропускаю свой IP через NAT и когда в самом внизу пишу такое правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 автоматически связ разрывается. И не идет ping v mail.ru не идет ping 192.168.11.1 Как только удаляю ето правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 все отлично идет Так в чем ж проблема На заранее спосибо |
ну... похоже ты сам себя баниш)))
|
Цитата:
Давай подробный листинг правил, а то не понятно ничего из того что ты изложил. |
я установил прокси сервер
внутренный ip Http port 192.168.11.130 : 8080 acl our networks 192.168.11.0/24 192.168.192.0/24 192.168.194.0/24 прокси я пробовал и нат тоже вот с такими правилами ipfw add 100 allow ip from 192.168.11.69 to any via em0 ipfw add 101 allow ip from 192.168.11.69 to 192.168.11.130 все работает. Оутлок работает и чат аска агент мсн конф зделал через прокси HTTP proxy 192.168.11.130 8080 все работаетю Но я хочу запретит все етой сетке. у меня в ядре только ети опции options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPDIVERT options IPFIREWALL_FORWARD options DUMMYNET options IPSTEALTH options TCP_DROP_SYNFIN options IPFIREWALL_DEFAULT_TO_ACCEPT options MAC но как только я пишу такое правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 связ через порт 22 и инет разрывается но по принципу IPFW Firewall-a ето правило не должно помешат той правиле которую я наверху написал но в данный момент мешает |
Да, привила файрвола покажите полностью. Никому не интересны "серые" сети, серьезно.
|
cail, Ты правила динамически меняешь или есть файл типа (/etc/rc.firewall)? Дай список правил, а не опции с которыми ядро было собрано.
|
нет я шас не ползуюс файл с правилами.Только стандартные правила.
Очен извеняюс я шас не на работе по етому не могу показат Но насколько я помню вот такие. 00050 divert 8668 ip4 from any to any via em1 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 65000 allow ip from any to any 65535 deny ip from any to any |
уго сколько у тебя правил....
честно говоря не пойму в чём проблема-то? человек разрешил доступ, и чуть ниже запретил... (причём не только себе, а и всей "сетке") вопрос только в том, зачем ему это надо? |
вопрос в том что я не хочу чтоб кроме етого IP адреса 192.168.11.69 никакой IP в етой сетке не смог исползвоват ничего.
Ранше я всегда так конф делал и все было нормально. я правила писал некоторым IP адресам в сетке 192.168.11. и в сетке 192.168.192. и почти в самом внизу запрешал все вот так ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 ipfw add 30000 deny ip from 192.168.192.0/24 to any via em0 я уже 3 или 4 раз настраивал firewall так все работало.Только етот раз впервые не получилос Я во многих статях прочитал что firewall работает по чыфровому порядку сверху вниз Тоист если я в одной сетке по чыфровому порядку первым разрешу допустим в чыфре 150 какойто IP то внизу в чыфре 30000 запрешаю всю сетку ето не должно мешат той IP которому я разрешил в 150. Я даже наоборот проверил всеравно не получилось. Ето у меня первый раз так ранше все получалось. Спосибо вам за помош |
помойму это можно сделать одной командой.
дай только вспомню какой... |
и какой же ?
|
ага... то похоже относится к Pf
там можно просто поставить "!" перед адресом. ну да ладно... |
а подробно можете писат и обяснять ?
|
во Фре есть 3 разных фаервола.
есть ipfw родной FreeBSD есть pf (пакетный фильтр) импортирован из OpenBSD мощная штука, кстати.... а есть еще ipf вроде как штуковина из NetBSD |
в самом IPFW незнайте как я могу делат?
|
не.... я сам новичек, так что...
просто учусь вместе с вами... смотрю на проблемы пытаемься совместными усилиями решить... твоя ситуация не понятная... |
я сам както найду.
Все равно спосибо вам болшое за помошь |
cail
ipfw show - показывает сколько байт относится к каждому правилу. Перед этим можно сделать ipfw flush - обнулит всю статистику. Судя по объяснению - всё правильно. Запости вывод ipfw show. |
вот ответ ipfw show
00050 63942 27887760 divert 8668 ip4 from any to any via em1 00100 18 2842 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 171339 62582732 allow ip from any to any 65535 0 0 deny ip from any to any |
|
я говорю ж если я напишу ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 » сервер не позволит мне его удаленно использвоват
Он автоматически вырубает мой IP |
00050 divert 8668 ip4 from any to any via em1
00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 30000 deny ip from 192.168.11.0/24 to any via em0 65000 allow ip from any to any 65535 deny ip from any to any В таком случае вижу неправильную конфигурацию. Или попутал em1 и em0? |
нет я не перепутал
Я ранше ето делал 3-4 раз и все работала ето первый раз что не работает |
cail, все правила написаны правильно. Скорее всего до этого работало неправильно.
Либо ищи разницу с предыдущими конфигурациями. |
| Время: 05:48. |
Время: 05:48.
© OSzone.net 2001-