URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 21073
[ Назад ]

Исходное сообщение
"Нужен совет по ipfw"
Отправлено yard , 24-Сен-02 16:42

Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети) в ту же локалку при помощи ipfw. Если я напишу:
ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно или можно это сделать как то по другому?
Зараннее благодарен

Содержание

RE: Нужен совет по ipfw,Elena, 16:46 , 24-Сен-02
- RE: Нужен совет по ipfw,yard, 16:51 , 24-Сен-02
  - RE: Нужен совет по ipfw,Elena, 17:22 , 24-Сен-02
    - RE: Нужен совет по ipfw,yard, 17:40 , 24-Сен-02
      - RE: Нужен совет по ipfw,AD, 21:29 , 24-Сен-02
        
        RE: Нужен совет по ipfw,Elena, 08:28 , 25-Сен-02
        
        RE: Нужен совет по ipfw,yard, 08:51 , 25-Сен-02
        
        RE: Нужен совет по ipfw,Elena, 09:20 , 25-Сен-02

Сообщения в этом обсуждении

"RE: Нужен совет по ipfw"
Отправлено Elena , 24-Сен-02 16:46

>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети)
>в ту же локалку при помощи ipfw. Если я напишу:
>ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно
>или можно это сделать как то по другому?
>
>Зараннее благодарен

А вот так
ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ...

"RE: Нужен совет по ipfw"
Отправлено yard , 24-Сен-02 16:51

>>Ситуация такая: хочу закрыть доступ локальным адресам (без разбиения сети на подсети)
>>в ту же локалку при помощи ipfw. Если я напишу:
>>ipfw add deny all from 192.168.0.208/28 to 192.168.0.0/24, будет ли это правильно
>>или можно это сделать как то по другому?
>>
>>Зараннее благодарен
>
>
>А вот так
>ipfw add deny all from 192.168.0.0/16 to 192.168.0.0/16 via ...
И что это получится? Помоему бесполезное правило, или нет? Выходит запретить из 192.168.х.х класса В в 192.168.х.х того же класса, а смысл?

"RE: Нужен совет по ipfw"
Отправлено Elena , 24-Сен-02 17:22

Вообще не очень понятна топология.
Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить ходить с одной машины на другую в пределах сегмента? если так, то фря вообще не причем.
В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к фре, будь то либо разные интерфейсы либо один интефейс с алиасом.

"RE: Нужен совет по ipfw"
Отправлено yard , 24-Сен-02 17:40

>Вообще не очень понятна топология.
>Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить
>ходить с одной машины на другую в пределах сегмента? если так,
>то фря вообще не причем.
>В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к
>фре, будь то либо разные интерфейсы либо один интефейс с алиасом.
>
Топологии как таковой нет, все просто мне только требуется что бы определенные ip адреса (192.168.0.208/16) никого кроме себя не видели,
и про фрю я не говорил что она при чем то здесь. Неужели никто не подскажет коректно ли правило в данном случае.

"RE: Нужен совет по ipfw"
Отправлено AD , 24-Сен-02 21:29

>>Вообще не очень понятна топология.
>>Один сегмент на одним интерфейсе к фре? И в этом сегменте запретить
>>ходить с одной машины на другую в пределах сегмента? если так,
>>то фря вообще не причем.
>>В вышеописанное правило написано если каждая посдеть подключена по отдельному адресу к
>>фре, будь то либо разные интерфейсы либо один интефейс с алиасом.
>>
>Топологии как таковой нет, все просто мне только требуется что бы определенные
>ip адреса (192.168.0.208/16) никого кроме себя не видели,
>и про фрю я не говорил что она при чем то здесь.
>Неужели никто не подскажет коректно ли правило в данном случае.

пакетикам, которые по сетки бегают, твоя машина с ипфв по боку, они и без нее дойдут, если хочешь разделить то надо два интерфейса хотя бы, .

"RE: Нужен совет по ipfw"
Отправлено Elena , 25-Сен-02 08:28

КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД ФРЕЙ?????!!!!!!!!

"RE: Нужен совет по ipfw"
Отправлено yard , 25-Сен-02 08:51

>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ
>НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД
>ФРЕЙ?????!!!!!!!!
Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса 192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е. енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом ipfw запретить этим модемным адресам каким либо образом шариться по сетке, естественно кроме как на фрю где модемы (для этого нужно конечно еще одно правило которое бы разрешало это, но это не проблема; проблема с запретом)

"RE: Нужен совет по ipfw"
Отправлено Elena , 25-Сен-02 09:20

>>КАК МОЖНО ПОДСКАЗАТЬ КОНКРЕТНО ЕСЛИ ЗАДАЧА НЕ ЯСНА, И КАК ТУТ ФРЯ
>>НЕ ПРИ ЧЕМ ЕСЛИ ТЫ ПРИВОДИШЬ СТРОКИ ИЗ КОНФИГУРАЦИИ IPFW ПОД
>>ФРЕЙ?????!!!!!!!!
>Сори если не понятно выражаюсь. Попробую еще раз. Вот эти вот адреса
>192.168.0.208/28 назначаются на той же фре (это сделано для pppd), т.е.
>енто модемы. Тогда сформулирую вопрос по другому, можно ли вышеуказанным правилом
>ipfw запретить этим модемным адресам каким либо образом шариться по сетке,
>естественно кроме как на фрю где модемы (для этого нужно конечно
>еще одно правило которое бы разрешало это, но это не проблема;
>проблема с запрет
Один черт не точно.
Эти адреса назначаются удаленным клиентам или самой фре (если самой фре, то зачем так много и надо ли вообще?).
То правило, что написал изначально можно, но тогда нужно писать и в другую сторону, из сетки на фрю, если надо.
А чем тебе не понравилось предложенное мной правило вместо двух, не понимаю.