URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76355
[ Назад ]

Исходное сообщение
"использование правил IPFW2 в IPFW "
Отправлено HappyS , 21-Сен-07 13:57

подскажите? как мне использовать правила формата IPFW2 в IPFW, не могу без этого обойтись, Может быть можно обновить как-то фаэрвол безопасно? У меня FREEBSD 5.5

Содержание

использование правил IPFW2 в IPFW ,Grey, 14:22 , 21-Сен-07
- использование правил IPFW2 в IPFW ,HappyS, 15:37 , 21-Сен-07
использование правил IPFW2 в IPFW ,butcher, 19:31 , 21-Сен-07
- использование правил IPFW2 в IPFW ,HappyS, 10:47 , 24-Сен-07
  - использование правил IPFW2 в IPFW ,гость, 11:00 , 24-Сен-07
    - использование правил IPFW2 в IPFW ,HappyS, 11:10 , 24-Сен-07
      - использование правил IPFW2 в IPFW ,butcher, 12:00 , 24-Сен-07
        
        использование правил IPFW2 в IPFW ,HappyS, 12:39 , 24-Сен-07
        
        использование правил IPFW2 в IPFW ,butcher, 13:55 , 24-Сен-07
        
        использование правил IPFW2 в IPFW ,HappyS, 14:46 , 24-Сен-07

Сообщения в этом обсуждении

"использование правил IPFW2 в IPFW "
Отправлено Grey , 21-Сен-07 14:22

>подскажите? как мне использовать правила формата IPFW2 в IPFW, не могу без
>этого обойтись, Может быть можно обновить как-то фаэрвол безопасно? У меня
>FREEBSD 5.5
если в 5-ой ветке по дефолту ipfw НЕ 2, то просто пересобрать ядро с
options IPFW2
на четвёрке это делалось именно так ...
в 6-ке по дефолту ipfw2
пересборка ядра вполне безопасное дело, много раз делал это даже удалённо :)

"использование правил IPFW2 в IPFW "
Отправлено HappyS , 21-Сен-07 15:37

>[оверквотинг удален]
>>FREEBSD 5.5
>
>если в 5-ой ветке по дефолту ipfw НЕ 2, то просто пересобрать
>ядро с
>options IPFW2
>на четвёрке это делалось именно так ...
>в 6-ке по дефолту ipfw2
>
>пересборка ядра вполне безопасное дело, много раз делал это даже удалённо :)
>
Спасибо/ Ночью попробую

"использование правил IPFW2 в IPFW "
Отправлено butcher , 21-Сен-07 19:31

>подскажите? как мне использовать правила формата IPFW2 в IPFW, не могу без
>этого обойтись, Может быть можно обновить как-то фаэрвол безопасно? У меня
>FREEBSD 5.5
в 5-ке нет ipfw1. По-умолчанию используется ipfw2. Что именно у вас не работает?

"использование правил IPFW2 в IPFW "
Отправлено HappyS , 24-Сен-07 10:47

мне нужно одно правило
${fw} add deny log ip from not ${allowip} to any via LAN_if
где
allowip="1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30"
пишет ошибку в этой строчке

"использование правил IPFW2 в IPFW "
Отправлено гость , 24-Сен-07 11:00

>мне нужно одно правило
>${fw} add deny log ip from not ${allowip} to any via LAN_if
>
>где
>allowip="1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30"
>пишет ошибку в этой строчке
а если
allowip="{1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30}"
?

"использование правил IPFW2 в IPFW "
Отправлено HappyS , 24-Сен-07 11:10

>>мне нужно одно правило
>>${fw} add deny log ip from not ${allowip} to any via LAN_if
>>
>>где
>>allowip="1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30"
>>пишет ошибку в этой строчке
>
>а если
>allowip="{1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30}"
>?
да, забыл вписать - скобочки есть!!! Все равно ошибку пишет/ Может быть надо не "or" а "and" в мрем случае писать

"использование правил IPFW2 в IPFW "
Отправлено butcher , 24-Сен-07 12:00

>>а если
>>allowip="{1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30}"
>>?
>
>да, забыл вписать - скобочки есть!!! Все равно ошибку пишет/ Может быть
>надо не "or" а "and" в мрем случае писать
Внимательно читаем man:
src and dst: {addr | { addr or ... }} [[not] ports]
      An address (or a list, see below) optionally followed by ports
      specifiers.
      The second format (or-block with multiple addresses) is provided
      for convenience only and its use is discouraged.
В вашем случае проще и правильнее использовать формат:
addr-list: ip-addr[,addr-list]
Т.е.
allowip="1.2.3.4/28,3.4.5.6/29,6.7.8.9/30"
Либо, если сильно хочется `or' блоком, то так:
allowip="{ 1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30 }"
обратите внимание на пробелы между скобками и адресами

"использование правил IPFW2 в IPFW "
Отправлено HappyS , 24-Сен-07 12:39

>[оверквотинг удален]
>is discouraged.
>
>В вашем случае проще и правильнее использовать формат:
>addr-list: ip-addr[,addr-list]
>
>Т.е.
>allowip="1.2.3.4/28,3.4.5.6/29,6.7.8.9/30"
>Либо, если сильно хочется `or' блоком, то так:
>allowip="{ 1.2.3.4/28 or 3.4.5.6/29 or 6.7.8.9/30 }"
>обратите внимание на пробелы между скобками и адресами
вот такая ошибка
ipfw: address set cannot be in a list

"использование правил IPFW2 в IPFW "
Отправлено butcher , 24-Сен-07 13:55

>вот такая ошибка
>ipfw: address set cannot be in a list
> uname -sr
FreeBSD 5.4-STABLE
> ipfw -n add deny log ip from not 1.2.3.4/28,3.4.5.6/29,6.7.8.9/30 to any via em0
00000 deny log logamount 100 ip from not 1.2.3.0/28,3.4.5.0/29,6.7.8.8/30 to any via em0

"использование правил IPFW2 в IPFW "
Отправлено HappyS , 24-Сен-07 14:46

>>вот такая ошибка
>>ipfw: address set cannot be in a list
>> uname -sr
>
>FreeBSD 5.4-STABLE
>> ipfw -n add deny log ip from not 1.2.3.4/28,3.4.5.6/29,6.7.8.9/30 to any via em0
>
>00000 deny log logamount 100 ip from not 1.2.3.0/28,3.4.5.0/29,6.7.8.8/30 to any via
>em0
сработало!!!
freeBSD 5.5-release
не проходило правило из-за not ${allowip}
переменную не брал
попробовал напрямую как вы написали - проехало
еще бы укоротить подсеть видом 192.168.0.0/24{10-20}
посмотрим сработает ли