ipfw

Dan Lukes dan at gw.nic.cz
Mon May 21 04:52:39 CEST 2001
Previous message: ipfw
Next message: ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Josef Hrabec wrote:
 
> > > JH> 00050 divert 8668 ip from any to any via xl0
...
> > > JH> 65535 deny ip from any to any

> > > JH> Nyni muze vem kazde ip z interni site.Chtel jsem pristup ven omezit
> treba
> > > JH> jenom na ip 192.168.1.10
> > > JH> smazal jsem proto pravidlo 65000 a pridal pravidla:
> > > JH> 00300 allow ip from 192.168.1.10 to any
> > > JH> 00400 allow ip from any to 192.168.1.10
> > > JH> bohuzel vsak toto nefuguje.

> > Musite si uvedomit, ze nejprve se uplatnilo pravidlo 50, tedy divert a
> > NAT a pak uaz zase paket nema zdrojovou adresu 192.168.1.10 ...

> > > co tak
> > >
> > > 00050 divert 8668 ip from 192.168.1.10 to any via xl0 ?
> > > 00100 allow ip from any to any via lo0
> > > 00200 deny ip from any to 127.0.0.0/8
> > > 65000 allow ip from any to any
> > > 65535 deny ip from any to any
> > >
> > > vnutorne IP mozu ist na vsetky ostatne vnutorne IP.. 1.10 sa divertuje
> > > aj von...
> >
> > To by nemelo fungovat - takhle NATu predavate jen pakety odchazejici
> > ven z pozadovane IP - ale nedavate mu pakety vracejici se zpatky, takze
> > celkove preklad nefunguje. Muselo by to spis byt tak nejak takto:
> >
> > 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> > 00051 divert 8668 ip from any to any recv xl0 in

> Takze myslite, ze cesta pres zruseni pravidla
> 65000 allow ip from any to any
> je chybna?

	Rozhodne - a psal jsem proc. V te dobe jsou uz vsechny "vnitrni" pakety
prelozene a maji vsechny adresu vnejsiho interface - a jsou vzajemne
nerozlisitelne.

> Pripadlo mi zpocatku logicke, zrusit pravidlo ktere umozni aby mohlo kazde
> IP vsude a pak nasledne povolit jenom nektera IP.
> Je ale pravdou, ze pri tom mem prvni napadu IP 192.168.1.10 melo pristup na
> server (pro ostatni server vubec neodpovidal), ale uz nemohlo skrz divert
> ven.
> Tedy, je rozumne reseni k tem pravidlum
> 00300 allow ip from 192.168.1.10 to any
> 00400 allow ip from any to 192.168.1.10

	Ono je vic "vnitrnich" siti ? Jestli ne a tento stroj tedy neslouzi
jako router pri "vnitro"-"vnitrni" komunikaci, pak jsou tam tato
pravidla zbytecna.

> pridat jeste pravidla pro pruchod pres divert
> 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> 00051 divert 8668 ip from any to any recv xl0 in
> ?
> Budu to muset vyzkouset - ale i tak, kdyz pak tech IP ktera budu potrebovat
> pustit na server a pripadne i dale, bude treba deset nebo patnact, tak to se
> pak pocet pravidel hodne rozroste. Neexistuje pak v takovem pripade jeste
> nejaka jina cesta?

	Samozrejme - vzdyt ti muze byt preci jedno, jakou IP das kteremu
pocitaci. Tak si pro pocitace, ktere chces pustit ven vyhrad adresy
192.168.1.0/25 a pro ty co ven nemohou 192.168.1.128/25. Pak prislusne
rule vypada takto:
> 00050 divert 8668 ip from 192.168.1.0/25 to any xmit xl0 out
> 00051 divert 8668 ip from any to any recv xl0 in

	A to, jestli pocitac ven smi nebo nesmi se urci tim, ze se mu prideli
adresa z prislusne sady.


						Dan

-- 
Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
Previous message: ipfw
Next message: ipfw
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list