ipfw

Josef Hrabec j.hrabec at jtp.cz
Mon May 21 02:54:57 CEST 2001

Previous message: ipfw
Next message: ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Takze myslite, ze cesta pres zruseni pravidla
65000 allow ip from any to any
je chybna?
Pripadlo mi zpocatku logicke, zrusit pravidlo ktere umozni aby mohlo kazde
IP vsude a pak nasledne povolit jenom nektera IP.
Je ale pravdou, ze pri tom mem prvni napadu IP 192.168.1.10 melo pristup na
server (pro ostatni server vubec neodpovidal), ale uz nemohlo skrz divert
ven.
Tedy, je rozumne reseni k tem pravidlum
00300 allow ip from 192.168.1.10 to any
00400 allow ip from any to 192.168.1.10
pridat jeste pravidla pro pruchod pres divert
00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
00051 divert 8668 ip from any to any recv xl0 in
?
Budu to muset vyzkouset - ale i tak, kdyz pak tech IP ktera budu potrebovat
pustit na server a pripadne i dale, bude treba deset nebo patnact, tak to se
pak pocet pravidel hodne rozroste. Neexistuje pak v takovem pripade jeste
nejaka jina cesta?

Pepa.

----- Original Message -----
From: "Dan Lukes" <dan at gw.nic.cz>
To: <users-l at freebsd.cz>
Sent: Monday, May 21, 2001 1:13 AM
Subject: Re: ipfw

> Tomas TPS Ulej wrote:
> >
> > JH> 00050 divert 8668 ip from any to any via xl0
> > JH> 00100 allow ip from any to any via lo0
> > JH> 00200 deny ip from any to 127.0.0.0/8
> > JH> 65000 allow ip from any to any
> > JH> 65535 deny ip from any to any
> >
> > JH> (interni sit 192.168.1.0, pakety ktere jdou ven prochazeji skrz
maskaradu)
> >
> > JH> Nyni muze vem kazde ip z interni site.Chtel jsem pristup ven omezit
treba
> > JH> jenom na ip 192.168.1.10
> > JH> smazal jsem proto pravidlo 65000 a pridal pravidla:
> > JH> 00300 allow ip from 192.168.1.10 to any
> > JH> 00400 allow ip from any to 192.168.1.10
> > JH> bohuzel vsak toto nefuguje.
> > JH> Nevite prosim nekdo, jake pravidlo bych mel jeste pridat, aby mohl
pocitac
> > JH> 192.168.1.10 ven?
>
> Musite si uvedomit, ze nejprve se uplatnilo pravidlo 50, tedy divert a
> NAT a pak uaz zase paket nema zdrojovou adresu 192.168.1.10 ...
>
> > co tak
> >
> > 00050 divert 8668 ip from 192.168.1.10 to any via xl0 ?
> > 00100 allow ip from any to any via lo0
> > 00200 deny ip from any to 127.0.0.0/8
> > 65000 allow ip from any to any
> > 65535 deny ip from any to any
> >
> > vnutorne IP mozu ist na vsetky ostatne vnutorne IP.. 1.10 sa divertuje
> > aj von...
>
> To by nemelo fungovat - takhle NATu predavate jen pakety odchazejici
> ven z pozadovane IP - ale nedavate mu pakety vracejici se zpatky, takze
> celkove preklad nefunguje. Muselo by to spis byt tak nejak takto:
>
> 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> 00051 divert 8668 ip from any to any recv xl0 in
>
> Dan
>
> --
> Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
> root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
> AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz

Previous message: ipfw
Next message: ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list