столкнулся с старнным непониманием себя
очень простая задача закрыть netBios в внешнюю сетку
конфиг
#!/bin/sh
/sbin/ipfw -f -q flush
/sbin/ipfw add 100 drop tcp from any 135,137-139 to any
/sbin/ipfw add 300 drop udp from any 135,137-139 to any
/sbin/ipfw add 500 divert natd ip from 192.168.200.1/24 to any out via rl0
/sbin/ipfw add 600 divert natd ip from any to 192.168.50.2 in via rl0
/sbin/ipfw add 800 pass all from any to any via rl1

даже так все равно из вне видно
помогите.

• закрытие портов в ipfw,lamerusha, 17:57 , 29-Июл-04
  • закрытие портов в ipfw,2vl, 18:30 , 29-Июл-04
    • закрытие портов в ipfw,lamerusha, 19:08 , 29-Июл-04
      • закрытие портов в ipfw,2vl, 20:19 , 29-Июл-04
        • закрытие портов в ipfw,lamerusha, 09:11 , 30-Июл-04
• закрытие портов в ipfw,Arifolth, 13:45 , 30-Июл-04
  • закрытие портов в ipfw,2vl, 19:50 , 03-Авг-04

слушай , а можно более подробно ...

Что тебе видно ... откуда ...

И зачем ты людям НАТ ставишь ???? это хорошо но IMHO не секурно ...

proxy и пускай не жужат ! ;о)))))

>слушай , а можно более подробно ...
>
> Что тебе видно ... откуда ...
>
>И зачем ты людям НАТ ставишь ???? это хорошо но IMHO не
>секурно ...
>
>proxy и пускай не жужат ! ;о)))))

есть две сетевки rl0 -- внешн 192.168.50.2 (через нее инет и тд)
                 rl1 -- 192.168.200.1 внутр. (через нее зверьки бегают)
проблема в том, что широковещательный траф от зверьков попадает на 50.2
что есть IMHO очень не хорошо
я хотел зарезать этот траф а именно netbios виндовых машинок во вне
но у меня не получилось все равно на внешнем интер они проходят и уходят дальше прову :((

firewall rules - default to deny...

мой конфиг для примера - свои правила сам придумаешь куда поставить ....

да еще забыл добывить если будешь использовать shaiping то нужно обяз.
________________
Как разрешить или запретить выполнение следующих ipfw правил после встречи dummynet pipe        [есть мнение]
      
Завершить выполнение цепочки ipfw правил после попадания в pipe:
   sysctl -w net.inet.ip.fw.one_pass=1                                            
Продолжить выполнение следующих ipfw правил после попадания в pipe:
   sysctl -w net.inet.ip.fw.one_pass=0
________________

+++++++++++++++
#!/bin/sh
cmd="/sbin/ipfw"

onet="f.f.f.f/29"
oip="w.w.w.w."
oif="xl0"

office="192.168.1.0/24"

bbb="b.b.b.b"

aaa="a.a.a.a4"
$cmd -f flush

        j=100

allow () { j=$(($j+100)); $cmd add $j allow $*; }
deny_log  () { j=$(($j+100)); $cmd add $j deny log $*; }
deny  () { j=$(($j+100)); $cmd add $j deny  $*; }
count () { j=$(($j+100)); $cmd add $j count $*; }
fwd   () { j=$(($j+100)); $cmd add $j fwd $*; }
divert () { j=$(($j+100)); $cmd add $j divert $*; }

allow_110 () { allow tcp from any 110 to $*
              allow tcp from $* to any 110; }

add_pipe () { j=$(($j+100)); $cmd add $j pipe $*; }

        allow ip from $oip to $onet
        allow ip from $onet to $oip

        allow ip from $aaa to any
        allow ip from any to $aaaa

        allow ip from any to any via lo0

          add_pipe 1000 tcp from $oip  to any
          add_pipe 1100 tcp from  any to $oip

        $cmd pipe 1000 config bw 512KBit/s
        $cmd pipe 1100 config bw 512KBit/s

     deny tcp from any to $oip 8090
        deny tcp from $oip 8090 to any

        deny tcp from any to $oip 8080
        deny tcp from $oip 8080 to any

        allow tcp from any to any 7722
        allow tcp from any 7722 to any

#ntpdate
        allow ip from any to 195.58.5.202
        allow ip from 195.58.5.202 to any

#       allow ip from $onet to any
#       allow ip from any to $onet

#local net

        allow tcp from any to any 25
        allow tcp from any 25 to any

        allow udp  from any 53 to any
        allow udp  from any to any 53

        allow tcp from any 53 to any
        allow tcp from any to any 53

        allow tcp from any 80 to any
        allow tcp from any to any 80

        allow tcp from any 20-22 to $oip
        allow tcp from $oip to any 20-22
    allow tcp from any 443 to any
        allow tcp from any to any 443

#download soft

        allow ip from any to 204.152.184.110
        allow ip from 204.152.184.110 to any

        allow ip from any to 131.159.72.23
        allow ip from 131.159.72.23 to any

        allow ip from any to 213.24.208.27
        allow ip from 213.24.208.27 to any

        deny_log ip from any to any

+++++++++++++++

:)))) мне не надо каналов :))
мне всего этого не надо
и стенка то по умолчанию у меня ОТКРЫТА !!!
вот в чем загвозка :))

ну это твой гемор....

тогда тебе надо бить ip x.x.x.255

>столкнулся с старнным непониманием себя
>очень простая задача закрыть netBios в внешнюю сетку
>конфиг
>#!/bin/sh
>/sbin/ipfw -f -q flush
>/sbin/ipfw add 100 drop tcp from any 135,137-139 to any
>/sbin/ipfw add 300 drop udp from any 135,137-139 to any
>/sbin/ipfw add 500 divert natd ip from 192.168.200.1/24 to any out via
>rl0
>/sbin/ipfw add 600 divert natd ip from any to 192.168.50.2 in via
>rl0
>/sbin/ipfw add 800 pass all from any to any via rl1
>
>даже так все равно из вне видно
>помогите.

попробуй так:
ipfw add 100 deny ip from any to any dst-port 135, 137-139 in via rl1
ipfw add 100 deny ip from any to any dst-port 135, 137-139 in via rl0
ну или out
поможет - напиши

вылечил :))
/sbin/ipfw -f -q flush
/sbin/ipfw add 100 drop tcp from 192.168.200.0/24 135,137-139 to 192.168.50.0/24 via rl0
/sbin/ipfw add 200 drop tcp from 192.168.50.0/24 135,137-139 to any via rl0
/sbin/ipfw add 300 drop udp from 192.168.200.0/24 135,137,138,139 to 192.168.50.0/24 via rl0
/sbin/ipfw add 400 drop udp from 192.168.50.0/24 135,137-139 to any via rl0
впорос снят
2vl