URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 52602
[ Назад ]

Исходное сообщение
"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы адресов"
Отправлено Searcher , 20-Янв-05 18:32

Кто-то знает возможно ли в правилах ipfw делать исключения из группы адресов
аля запретить всем кроме одного или всей группе кроме этой группы и т д?
Тоесть чтобы вместо 3ех правил
ipfw add allow IP from IP to any port
ipfw add allow from any to IP to any port
ipfw add deny from any to any port
записать одно!

Содержание

IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 18:46 , 20-Янв-05
- IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,jr, 18:52 , 20-Янв-05
  - IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 23:06 , 20-Янв-05
    - IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,jr, 09:44 , 21-Янв-05
- IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,BarS, 19:22 , 20-Янв-05
IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,crash, 02:36 , 21-Янв-05
- IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,ShyLion, 08:11 , 21-Янв-05
  - IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 18:38 , 24-Янв-05
    - IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,ShyLion, 13:48 , 25-Янв-05
      - IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 15:13 , 25-Янв-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,alk, 16:57 , 25-Янв-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 19:19 , 25-Янв-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,alk, 10:27 , 26-Янв-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 14:32 , 26-Янв-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 00:58 , 18-Фев-05
        
        IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ...,Searcher, 01:36 , 18-Фев-05

Сообщения в этом обсуждении

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 20-Янв-05 18:46

лол, поправлю очепятки (очень спонтанно и быстро писал):
ipfw add allow tcp from IP to any port
ipfw add allow tcp from any to IP port
ipfw add deny tcp from any to any port

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено jr , 20-Янв-05 18:52

>лол, поправлю очепятки (очень спонтанно и быстро писал):
>ipfw add allow tcp from IP to any port
>ipfw add allow tcp from any to IP port
>ipfw add deny tcp from any to any port
нет

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 20-Янв-05 23:06

>>лол, поправлю очепятки (очень спонтанно и быстро писал):
>>ipfw add allow tcp from IP to any port
>>ipfw add allow tcp from any to IP port
>>ipfw add deny tcp from any to any port
>
>нет
тоесть только 3 правила и по другому никак :( ?

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено jr , 21-Янв-05 09:44

>тоесть только 3 правила и по другому никак :( ?
а чем смущает то 3 правила, если не секрет? :)

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено BarS , 20-Янв-05 19:22

>лол, поправлю очепятки (очень спонтанно и быстро писал):
>ipfw add allow tcp from IP to any port
>ipfw add allow tcp from any to IP port
>ipfw add deny tcp from any to any port

Ты пля сам понял что напИсал

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено crash , 21-Янв-05 02:36

>Кто-то знает возможно ли в правилах ipfw делать исключения из группы адресов
>
>
>аля запретить всем кроме одного или всей группе кроме этой группы и
>т д?
>
>Тоесть чтобы вместо 3ех правил
>
>ipfw add allow IP from IP to any port
>ipfw add allow from any to IP to any port
>ipfw add deny from any to any port
>
>записать одно!
ipfw2 помоему это разрешает делать

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено ShyLion , 21-Янв-05 08:11

>ipfw2 помоему это разрешает делать
ipfw2 позволяет определять в одном правиле группы адресов, так что это не из той оперы.
объеденить три правила в одном нельзя, потому что какой в этом смысл? все равно это будут три правила а не одно

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 24-Янв-05 18:38

отвечаю всем сразу:
насчет "пля понял" :) я же исправился сразу, :) просто пальцы набирали быстрее чем голова думала (шучу конечно же).
чем смущают три правила: хочется чтобы в одной строке было исключение.
Так как если таких вот исключений много, то количество правил увеличивается!
Ес-но несмертельно, но все-таки из разряда "хочется комфортности"

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено ShyLion , 25-Янв-05 13:48

>отвечаю всем сразу:
>
>насчет "пля понял" :) я же исправился сразу, :) просто пальцы
>набирали быстрее чем голова думала (шучу конечно же).
>
>чем смущают три правила: хочется чтобы в одной строке было исключение.
>Так как если таких вот исключений много, то количество правил увеличивается!
>Ес-но несмертельно, но все-таки из разряда "хочется комфортности"

deny from any to any и так только один раз достаточно написать в конце всего списка, а записать типа
allow ip from IP or to IP нельзя, нет такого в синтаксисе

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 25-Янв-05 15:13

>>отвечаю всем сразу:
>>
>>насчет "пля понял"  :) я же исправился сразу, :) просто пальцы
>>набирали быстрее чем голова думала (шучу конечно же).
>>
>>чем смущают три правила: хочется чтобы в одной строке было исключение.
>>Так как если таких вот исключений много, то количество правил увеличивается!
>>Ес-но несмертельно, но все-таки из разряда "хочется комфортности"
>
>
>deny from any to any и так только один раз достаточно написать
>в конце всего  списка, а записать типа
>allow ip from IP or to IP нельзя, нет такого в синтаксисе
>
Кто нить убейте первое сообщение! (я не могу его убить)
про правила - чиать следует ниже исправленный вариант (там написано):
"лол, поправлю очепятки (очень спонтанно и быстро писал):
ipfw add allow tcp from IP to any port
ipfw add allow tcp from any to IP port
ipfw add deny tcp  from any to any port
"
тоесть протокол + порт (отсюда и отдельный дени)
идея такова - заменить 3 правила одним.
Но вроде как порешили, что нельзя.
Опровергнут кто-то сможет? (напоминаю смотрим ipfw, как вариант ipfw2)

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено alk , 25-Янв-05 16:57

${ipfw} add deny tcp from not IP to any port

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 25-Янв-05 19:19

>${ipfw} add deny tcp from not IP to any port
ПАСИБ! именно то, что нужно!
кстати в мане есть про это;
Я так понимаю вместо ИП можно делать подстановку стандартных для ipfw источников аля подсеть?

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено alk , 26-Янв-05 10:27

>>${ipfw} add deny tcp from not IP to any port
>
>ПАСИБ! именно то, что нужно!
>кстати в мане есть про это;
>
>Я так понимаю вместо ИП можно делать подстановку стандартных для ipfw источников
>аля подсеть?
src && dst
можно сеть, группу адресов, оператор or для адресов тоже можно применять
man ipfw
Additionally, sets of alternative match patterns ( or-blocks ) can be
     constructed by putting the patterns in lists enclosed between parentheses
     ( ) or braces { }, and using the or operator as follows:
           ipfw add 100 allow ip from { x or not y or z } to any

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 26-Янв-05 14:32

>>>${ipfw} add deny tcp from not IP to any port
>>
>>ПАСИБ! именно то, что нужно!
>>кстати в мане есть про это;
>>
>>Я так понимаю вместо ИП можно делать подстановку стандартных для ipfw источников
>>аля подсеть?
>
>src && dst
>можно сеть, группу адресов, оператор or для адресов тоже можно применять
>
>man ipfw
>
> Additionally, sets of alternative match patterns ( or-blocks ) can be
>
>     constructed by putting the patterns in lists
>enclosed between parentheses
>     ( ) or braces { }, and
>using the or operator as follows:
>
>           ipfw
>add 100 allow ip from { x or not y or
>z } to any

Пасиб!
это именно оно! :)  топ скилс!

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 18-Фев-05 00:58

Вот извращаюсь дальше.
А как бы записать not через пример
addr/masklen{num,num,...}
                     Matches all addresses with base address addr (specified
                     as a dotted quad or a hostname) and whose last byte is in
                     the list between braces { } .  Note that there must be no
                     spaces between braces, commas and numbers.  The masklen
                     field is used to limit the size of the set of addresses,
                     and can have any value between 24 and 32.
                     As an example, an address specified as
                     1.2.3.4/24{128,35,55,89} will match the following IP
                     addresses:
                     1.2.3.128 1.2.3.35 1.2.3.55 1.2.3.89 .
                     This format is particularly useful to handle sparse
                     address sets within a single rule. Because the matching
                     occurs using a bitmask, it takes constant time and dra-
                     matically reduces the complexity of rulesets.

ipfw add 5 allow ip from not  192.168.1.0/24\{10,55\} to any 80
не прокатывает :(
в рулсах пишется при выводе правил только /24 и все! все что  в фигурных скобках игнорируется :( Проверил -  и работает рулся именно как /24, а не конкретные хосты!

"IPFW and deny/allow and ИСКЛЮЧЕНИЕ конкретного ИП из группы ..."
Отправлено Searcher , 18-Фев-05 01:36

Вопрос снимаю - это фича только для ipfw2 работает!