URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 58838
[ Назад ]

Исходное сообщение
"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 13:05

ipfw не второй версии!
Имеется правило
count ip from any to 1.1.1.1
Как сделать чтобы считался весь трафик, кроме того который идет с any:80 на 1.1.1.1

Содержание

Исключение из count одного прта,Simps, 13:08 , 03-Авг-05
- Исключение из count одного прта,Bopross, 13:20 , 03-Авг-05
  - Исключение из count одного прта,Simps, 13:48 , 03-Авг-05
- Исключение из count одного прта,YuryD, 13:26 , 03-Авг-05
  - Исключение из count одного прта,Bopross, 13:30 , 03-Авг-05
    - Исключение из count одного прта,YuryD, 13:36 , 03-Авг-05
      - Исключение из count одного прта,Bopross, 13:39 , 03-Авг-05
        
        Исключение из count одного прта,YuryD, 14:03 , 03-Авг-05
        
        Исключение из count одного прта,Bopross, 14:14 , 03-Авг-05
        
        Исключение из count одного прта,Simps, 15:15 , 03-Авг-05
    - Исключение из count одного прта,AMDmi3, 13:39 , 03-Авг-05
Исключение из count одного прта,AMDmi3, 13:21 , 03-Авг-05
- Исключение из count одного прта,Bopross, 13:23 , 03-Авг-05
  - Исключение из count одного прта,Simps, 14:04 , 03-Авг-05
    - Исключение из count одного прта,anton, 10:48 , 04-Авг-05

Сообщения в этом обсуждении

"Исключение из count одного прта"
Отправлено Simps , 03-Авг-05 13:08

>ipfw не второй версии!
>Имеется правило
>count ip from any to 1.1.1.1
>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>на 1.1.1.1
count tcp from any 80 to 1.1.1.1 пойдет?

"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 13:20

>count tcp from any 80 to 1.1.1.1 пойдет?
мне это как раз то что не надо считать
count tcp from any not 80 to 1.1.1.1 - такое не работает, это в ipfw2 работает
есть ещё какие-нибудь варианты?

"Исключение из count одного прта"
Отправлено Simps , 03-Авг-05 13:48

>>count tcp from any 80 to 1.1.1.1 пойдет?
>мне это как раз то что не надо считать
>count tcp from any not 80 to 1.1.1.1 - такое не работает,
>это в ipfw2 работает
>
>есть ещё какие-нибудь варианты?
count tcp from not any 80 to 1.1.1.1 подойдет?

"Исключение из count одного прта"
Отправлено YuryD , 03-Авг-05 13:26

>>ipfw не второй версии!
>>Имеется правило
>>count ip from any to 1.1.1.1
>>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>>на 1.1.1.1
>
>count tcp from any 80 to 1.1.1.1 пойдет?
нет, надо пару правил
100 allow tcp from any 80 to 1.1.1.1
101 count ip from any to 1.1.1.1
можно и иначе, но павил будет больше, т.к. придется считать tcp,udp,icmp..
т.е. все семейство IP

"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 13:30

>>>ipfw не второй версии!
>>>Имеется правило
>>>count ip from any to 1.1.1.1
>>>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>>>на 1.1.1.1
>>
>>count tcp from any 80 to 1.1.1.1 пойдет?
>
> нет, надо пару правил
> 100 allow tcp from any 80 to 1.1.1.1
> 101 count ip from any to 1.1.1.1
та квот именно что мне надо разрешить то всё, а считать всё кроме как с 80 порта!!
чуствуется выход что ли только в ipfw2??
>
> можно и иначе, но павил будет больше, т.к. придется считать tcp,udp,icmp..
>
> т.е. все семейство IP

"Исключение из count одного прта"
Отправлено YuryD , 03-Авг-05 13:36

>> нет, надо пару правил
>> 100 allow tcp from any 80 to 1.1.1.1
>> 101 count ip from any to 1.1.1.1
>та квот именно что мне надо разрешить то всё, а считать всё
>кроме как с 80 порта!!
>чуствуется выход что ли только в ipfw2??
ну напиши еше
102 allow ip from any to any
Allow packets that match rule. The search terminates. - перевести ?

"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 13:39

>>> нет, надо пару правил
>>> 100 allow tcp from any 80 to 1.1.1.1
>>> 101 count ip from any to 1.1.1.1
>>та квот именно что мне надо разрешить то всё, а считать всё
>>кроме как с 80 порта!!
>>чуствуется выход что ли только в ipfw2??
>
> ну напиши еше
> 102 allow ip from any to any
>
>Allow packets that match rule. The search terminates. - перевести ?
Ну и что будет все пакеты пропускать. Ну и как я подсчитаю трафик кроме как с 80 порта? на англ перевести?

"Исключение из count одного прта"
Отправлено YuryD , 03-Авг-05 14:03

100 allow tcp from any 80 to 1.1.1.1
101 count ip from any to 1.1.1.1
102 allow ip from any to any
по шагам - правило 100 - пропустит весь tcp 80 на 1.1.1.1 и остальные правила обрабатываться не будут
101 - посчитает все, кроме any:80 1.1.1.1
102 ну просто разрешает все -вы так хотели :-)
ну и снимать счетчики можно с любого правила, и чистить тоже ...

"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 14:14

> 100 allow tcp from any 80 to 1.1.1.1
> 101 count ip from any to 1.1.1.1
>
> по шагам - правило 100 - пропустит весь tcp 80 на
>1.1.1.1 и остальные правила обрабатываться не будут
> 101 - посчитает все, кроме any:80 1.1.1.1
о! спасибо, кажется как раз то что надо!! щас пробовать буду, а я уже и думал не получится, ещё раз спасибо
>ipfw 10 add count ip from any to 1.1.1.1
>ipfw 10 add count tcp from any 80 to 1.1.1.1
>Далее скриптом или ручкой производишь операцию вычитания второго числа из
первого =)
мне желательно чтобы без арифм операций

"Исключение из count одного прта"
Отправлено Simps , 03-Авг-05 15:15

>> 100 allow tcp from any 80 to 1.1.1.1
>> 101 count ip from any to 1.1.1.1
>>
>> по шагам - правило 100 - пропустит весь tcp 80 на
>>1.1.1.1 и остальные правила обрабатываться не будут
>> 101 - посчитает все, кроме any:80 1.1.1.1
>о! спасибо, кажется как раз то что надо!! щас пробовать буду, а
>я уже и думал не получится, ещё раз спасибо
>
>>ipfw 10 add count ip from any to 1.1.1.1
>>ipfw 10 add count tcp from any 80 to 1.1.1.1
>
>>Далее скриптом или ручкой производишь операцию вычитания второго числа из
>первого =)
>мне желательно чтобы без арифм операций
Тогда смотри пост YuryD =)

"Исключение из count одного прта"
Отправлено AMDmi3 , 03-Авг-05 13:39

>та квот именно что мне надо разрешить то всё, а считать всё
>кроме как с 80 порта!!
>чуствуется выход что ли только в ipfw2??
Чем считаешь-то? Если ipa, то она умеет из одного счетчика другой вычитать. По-хорошему, все должны уметь.
Если разрешить все, а считать кроме 80, то почему не:
allow tcp from any 80 to 1.1.1.1 (либо skipto, если дальше еще что-то фильтровать надо)
count all from any to 1.1.1.1
allow all from any to 1.1.1.1
А вообще пора бы уже и IPFW2.

"Исключение из count одного прта"
Отправлено AMDmi3 , 03-Авг-05 13:21

>ipfw не второй версии!
>Имеется правило
>count ip from any to 1.1.1.1
>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>на 1.1.1.1
так вроде там можно было: 1-79,81-65535
в любом случае, в man это должно быть описано

"Исключение из count одного прта"
Отправлено Bopross , 03-Авг-05 13:23

>>ipfw не второй версии!
>>Имеется правило
>>count ip from any to 1.1.1.1
>>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>>на 1.1.1.1
>
>так вроде там можно было: 1-79,81-65535
>
только до запятой может быть диапозон, а дальше только перечисление

"Исключение из count одного прта"
Отправлено Simps , 03-Авг-05 14:04

>>>ipfw не второй версии!
>>>Имеется правило
>>>count ip from any to 1.1.1.1
>>>Как сделать чтобы считался весь трафик, кроме того который идет с any:80
>>>на 1.1.1.1
>>
>>так вроде там можно было: 1-79,81-65535
>>
>только до запятой может быть диапозон, а дальше только перечисление
ipfw 10 add count ip from any to 1.1.1.1
ipfw 10 add count tcp from any 80 to 1.1.1.1
Далее скриптом или ручкой производишь операцию вычитания второго числа из первого =)

"Исключение из count одного прта"
Отправлено anton , 04-Авг-05 10:48

Также много возможностей дают правила типа ipfw add skipto