FreeBSD

wp2 · Отправлено: **23:51, 04-10-2008** | #2

ну... похоже ты сам себя баниш)))

Orfan · Отправлено: **00:03, 05-10-2008** | #3

Цитата cail:

ipfw add 70 allow ip from 192.168.11.69 to any via em0 пропускаю свой IP через NAT »

Через NAT пропускают divert или tee, а тут ты просто разрешаешь пакеты через конкретный интерфейс от определенного ip адреса и все.

Давай подробный листинг правил, а то не понятно ничего из того что ты изложил.

cail · Отправлено: **00:59, 05-10-2008** | #4

я установил прокси сервер
внутренный ip Http port 192.168.11.130 : 8080
acl our networks 192.168.11.0/24 192.168.192.0/24 192.168.194.0/24
прокси я пробовал и нат тоже вот с такими правилами
ipfw add 100 allow ip from 192.168.11.69 to any via em0
ipfw add 101 allow ip from 192.168.11.69 to 192.168.11.130
все работает. Оутлок работает и чат аска агент мсн конф зделал через прокси HTTP proxy 192.168.11.130 8080 все работаетю
Но я хочу запретит все етой сетке.
у меня в ядре только ети опции
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options IPSTEALTH
options TCP_DROP_SYNFIN
options IPFIREWALL_DEFAULT_TO_ACCEPT
options MAC

но как только я пишу такое правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 связ через порт 22 и инет разрывается
но по принципу IPFW Firewall-a ето правило не должно помешат той правиле которую я наверху написал

но в данный момент мешает

Dm1try · Отправлено: **12:19, 05-10-2008** | #5

Да, привила файрвола покажите полностью. Никому не интересны "серые" сети, серьезно.

Orfan · Отправлено: **12:21, 05-10-2008** | #6

cail, Ты правила динамически меняешь или есть файл типа (/etc/rc.firewall)? Дай список правил, а не опции с которыми ядро было собрано.

cail · Отправлено: **16:43, 05-10-2008** | #7

нет я шас не ползуюс файл с правилами.Только стандартные правила.
Очен извеняюс я шас не на работе по етому не могу показат
Но насколько я помню вот такие.
00050 divert 8668 ip4 from any to any via em1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any

wp2 · Отправлено: **18:08, 05-10-2008** | #8

уго сколько у тебя правил....

честно говоря не пойму в чём проблема-то?

человек разрешил доступ, и чуть ниже запретил... (причём не только себе, а и всей "сетке")

вопрос только в том, зачем ему это надо?

cail · Отправлено: **19:11, 05-10-2008** | #9

вопрос в том что я не хочу чтоб кроме етого IP адреса 192.168.11.69 никакой IP в етой сетке не смог исползвоват ничего.
Ранше я всегда так конф делал и все было нормально.
я правила писал некоторым IP адресам в сетке 192.168.11. и в сетке 192.168.192.
и почти в самом внизу запрешал все вот так ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0
ipfw add 30000 deny ip from 192.168.192.0/24 to any via em0
я уже 3 или 4 раз настраивал firewall так все работало.Только етот раз впервые не получилос
Я во многих статях прочитал что firewall работает по чыфровому порядку сверху вниз
Тоист если я в одной сетке по чыфровому порядку первым разрешу допустим в чыфре 150 какойто IP то внизу в чыфре 30000 запрешаю всю сетку ето не должно мешат той IP которому я разрешил в 150.
Я даже наоборот проверил всеравно не получилось.
Ето у меня первый раз так ранше все получалось.
Спосибо вам за помош

wp2 · Отправлено: **19:16, 05-10-2008** | #10

помойму это можно сделать одной командой.

дай только вспомню какой...