ipfw

Aleš Kotmel kotmel at annexnet.cz
Mon May 21 08:42:43 CEST 2001

Previous message: ipfw
Next message: truetype cz fonty a cz mapa klaves
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zkuste IP Filter ...

> -----Původní zpráva-----
> Od: Josef Hrabec [mailto:j.hrabec at jtp.cz]
> Odesláno: 21. května 2001 2:55
> Komu: users-l at freebsd.cz
> Předmět: Re: ipfw
> 
> 
> Takze myslite, ze cesta pres zruseni pravidla
> 65000 allow ip from any to any
> je chybna?
> Pripadlo mi zpocatku logicke, zrusit pravidlo ktere umozni 
> aby mohlo kazde
> IP vsude a pak nasledne povolit jenom nektera IP.
> Je ale pravdou, ze pri tom mem prvni napadu IP 192.168.1.10 
> melo pristup na
> server (pro ostatni server vubec neodpovidal), ale uz nemohlo 
> skrz divert
> ven.
> Tedy, je rozumne reseni k tem pravidlum
> 00300 allow ip from 192.168.1.10 to any
> 00400 allow ip from any to 192.168.1.10
> pridat jeste pravidla pro pruchod pres divert
> 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> 00051 divert 8668 ip from any to any recv xl0 in
> ?
> Budu to muset vyzkouset - ale i tak, kdyz pak tech IP ktera 
> budu potrebovat
> pustit na server a pripadne i dale, bude treba deset nebo 
> patnact, tak to se
> pak pocet pravidel hodne rozroste. Neexistuje pak v takovem 
> pripade jeste
> nejaka jina cesta?
> 
> Pepa.
> 
> 
> 
> 
> 
> 
> 
> ----- Original Message -----
> From: "Dan Lukes" <dan at gw.nic.cz>
> To: <users-l at freebsd.cz>
> Sent: Monday, May 21, 2001 1:13 AM
> Subject: Re: ipfw
> 
> 
> > Tomas TPS Ulej wrote:
> > >
> > > JH> 00050 divert 8668 ip from any to any via xl0
> > > JH> 00100 allow ip from any to any via lo0
> > > JH> 00200 deny ip from any to 127.0.0.0/8
> > > JH> 65000 allow ip from any to any
> > > JH> 65535 deny ip from any to any
> > >
> > > JH> (interni sit 192.168.1.0, pakety ktere jdou ven 
> prochazeji skrz
> maskaradu)
> > >
> > > JH> Nyni muze vem kazde ip z interni site.Chtel jsem 
> pristup ven omezit
> treba
> > > JH> jenom na ip 192.168.1.10
> > > JH> smazal jsem proto pravidlo 65000 a pridal pravidla:
> > > JH> 00300 allow ip from 192.168.1.10 to any
> > > JH> 00400 allow ip from any to 192.168.1.10
> > > JH> bohuzel vsak toto nefuguje.
> > > JH> Nevite prosim nekdo, jake pravidlo bych mel jeste 
> pridat, aby mohl
> pocitac
> > > JH> 192.168.1.10 ven?
> >
> > Musite si uvedomit, ze nejprve se uplatnilo pravidlo 50, 
> tedy divert a
> > NAT a pak uaz zase paket nema zdrojovou adresu 192.168.1.10 ...
> >
> > > co tak
> > >
> > > 00050 divert 8668 ip from 192.168.1.10 to any via xl0 ?
> > > 00100 allow ip from any to any via lo0
> > > 00200 deny ip from any to 127.0.0.0/8
> > > 65000 allow ip from any to any
> > > 65535 deny ip from any to any
> > >
> > > vnutorne IP mozu ist na vsetky ostatne vnutorne IP.. 1.10 
> sa divertuje
> > > aj von...
> >
> > To by nemelo fungovat - takhle NATu predavate jen pakety odchazejici
> > ven z pozadovane IP - ale nedavate mu pakety vracejici se 
> zpatky, takze
> > celkove preklad nefunguje. Muselo by to spis byt tak nejak takto:
> >
> > 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> > 00051 divert 8668 ip from any to any recv xl0 in
> >
> > Dan
> >
> > --
> > Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
> > root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
> > AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, 
> dan at kolej.mff.cuni.cz
>

Previous message: ipfw
Next message: truetype cz fonty a cz mapa klaves
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list