ipfw

Josef Hrabec j.hrabec at jtp.cz
Mon May 21 15:57:35 CEST 2001


A pak tedy jeste jedna vec, ktera mi neni zcela jasna.
K cemu je vlastne dobre pravidlo
65535 deny ip from any to any
kdyz pred nim sedi pravidlo
65000 allow ip from any to any
?
Ty to dve pravidla byly v ipfw nastaveny defaultne sama.




----- Original Message -----
From: "Dan Lukes" <dan at gw.nic.cz>
To: <users-l at freebsd.cz>
Sent: Monday, May 21, 2001 4:52 AM
Subject: Re: ipfw


> Josef Hrabec wrote:
>
> > > > JH> 00050 divert 8668 ip from any to any via xl0
> ...
> > > > JH> 65535 deny ip from any to any
>
> > > > JH> Nyni muze vem kazde ip z interni site.Chtel jsem pristup ven
omezit
> > treba
> > > > JH> jenom na ip 192.168.1.10
> > > > JH> smazal jsem proto pravidlo 65000 a pridal pravidla:
> > > > JH> 00300 allow ip from 192.168.1.10 to any
> > > > JH> 00400 allow ip from any to 192.168.1.10
> > > > JH> bohuzel vsak toto nefuguje.
>
> > > Musite si uvedomit, ze nejprve se uplatnilo pravidlo 50, tedy divert a
> > > NAT a pak uaz zase paket nema zdrojovou adresu 192.168.1.10 ...
>
> > > > co tak
> > > >
> > > > 00050 divert 8668 ip from 192.168.1.10 to any via xl0 ?
> > > > 00100 allow ip from any to any via lo0
> > > > 00200 deny ip from any to 127.0.0.0/8
> > > > 65000 allow ip from any to any
> > > > 65535 deny ip from any to any
> > > >
> > > > vnutorne IP mozu ist na vsetky ostatne vnutorne IP.. 1.10 sa
divertuje
> > > > aj von...
> > >
> > > To by nemelo fungovat - takhle NATu predavate jen pakety odchazejici
> > > ven z pozadovane IP - ale nedavate mu pakety vracejici se zpatky,
takze
> > > celkove preklad nefunguje. Muselo by to spis byt tak nejak takto:
> > >
> > > 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> > > 00051 divert 8668 ip from any to any recv xl0 in
>
> > Takze myslite, ze cesta pres zruseni pravidla
> > 65000 allow ip from any to any
> > je chybna?
>
> Rozhodne - a psal jsem proc. V te dobe jsou uz vsechny "vnitrni" pakety
> prelozene a maji vsechny adresu vnejsiho interface - a jsou vzajemne
> nerozlisitelne.
>
> > Pripadlo mi zpocatku logicke, zrusit pravidlo ktere umozni aby mohlo
kazde
> > IP vsude a pak nasledne povolit jenom nektera IP.
> > Je ale pravdou, ze pri tom mem prvni napadu IP 192.168.1.10 melo pristup
na
> > server (pro ostatni server vubec neodpovidal), ale uz nemohlo skrz
divert
> > ven.
> > Tedy, je rozumne reseni k tem pravidlum
> > 00300 allow ip from 192.168.1.10 to any
> > 00400 allow ip from any to 192.168.1.10
>
> Ono je vic "vnitrnich" siti ? Jestli ne a tento stroj tedy neslouzi
> jako router pri "vnitro"-"vnitrni" komunikaci, pak jsou tam tato
> pravidla zbytecna.
>
> > pridat jeste pravidla pro pruchod pres divert
> > 00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
> > 00051 divert 8668 ip from any to any recv xl0 in
> > ?
> > Budu to muset vyzkouset - ale i tak, kdyz pak tech IP ktera budu
potrebovat
> > pustit na server a pripadne i dale, bude treba deset nebo patnact, tak
to se
> > pak pocet pravidel hodne rozroste. Neexistuje pak v takovem pripade
jeste
> > nejaka jina cesta?
>
> Samozrejme - vzdyt ti muze byt preci jedno, jakou IP das kteremu
> pocitaci. Tak si pro pocitace, ktere chces pustit ven vyhrad adresy
> 192.168.1.0/25 a pro ty co ven nemohou 192.168.1.128/25. Pak prislusne
> rule vypada takto:
> > 00050 divert 8668 ip from 192.168.1.0/25 to any xmit xl0 out
> > 00051 divert 8668 ip from any to any recv xl0 in
>
> A to, jestli pocitac ven smi nebo nesmi se urci tim, ze se mu prideli
> adresa z prislusne sady.
>
>
> Dan
>
> --
> Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
> root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
> AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list