| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
qwery
Зарегистрирован: 14.11.2002
Сообщения: 394
|
 Добавлено: Пн Июн 21 2004 16:34 Заголовок сообщения: ipfw&modem |
 |
|
сейчас моя лок сеть будет выходить в инет через модем (комп с фри5.2), я настрою там ipfw. дык вопрос в следующем - в будущем будет выделенная линия, то есть вместо модема будет сетевая, дык как бы мне с минимальными потерями перенастроить всё на сетевую карту. или всё таки все правила в ручную для другого интерфейса прописывать?
и ещё вопрос - а как запретить все вход и исходящие icmp пакеты (какое правило прописать)? - и как это отразится?
заранее спасибо |
|
| Вернуться к началу |
|
 |
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Вт Июн 22 2004 11:39 Заголовок сообщения: Re: ipfw&modem |
|
|
| qwery писал(а): | | сейчас моя лок сеть будет выходить в инет через модем (комп с фри5.2), я настрою там ipfw. дык вопрос в следующем - в будущем будет выделенная линия, то есть вместо модема будет сетевая, дык как бы мне с минимальными потерями перенастроить всё на сетевую карту. или всё таки все правила в ручную для другого интерфейса прописывать? |
У меня есть книжка "Брандмауэры для Линукс" на мой взгляд достаточно неплохая. Так там советуют вместо прописывания в правилах, например eth0, дать строчку что "My_interface=eth0" (синтаксис точный ща не вспомню) и далее по тексту вставлять именно это наименование интерфейса. Да и не только интерфейса, но и ИП и проч.
| Цитата: | и ещё вопрос - а как запретить все вход и исходящие icmp пакеты (какое правило прописать)? - и как это отразится?
заранее спасибо |
Вот это ща не вспомню, но могу там посмотреть, если хош!  По идее, пишешь Deny для всех интерфейсов для подобного рода пакетов и все...
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Гость
|
| Добавлено: Чт Июн 24 2004 09:47 Заголовок сообщения: |
|
|
посмотри пожалуйста, если не трудно, буду благодарен...
а на самом деле, если я поставлю сначала модем (lpt) , а потом его уберу, можно ли всё, что касалось модема безболезненно применить к сетевой? |
|
| Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Чт Июн 24 2004 11:29 Заголовок сообщения: |
|
|
| Anonymous писал(а): | | посмотри пожалуйста, если не трудно, буду благодарен... |
Завтра отпишу. Постараюсь не забыть сегодня глянуть.
| Цитата: | | а на самом деле, если я поставлю сначала модем (lpt) , а потом его уберу, можно ли всё, что касалось модема безболезненно применить к сетевой? |
Не уверен - это к спецам-юниксоидам вопрос. На мой взгляд, может получиться, но это МОЕ мнение.
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Пт Июн 25 2004 14:59 Заголовок сообщения: Как и обещал... |
|
|
В общем случае правила для ICMP будут вглядеть так (напоминаю, Линукс-версия):
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-s $ANYWHERE ## -d $IPADDR -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR ## -d $ANYWHERE -j ACCEPT
Вместо ## следует прописывать поочереди 3,4,11,12.
Для ping'ов:
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-s $ANYWHERE 0 -d $IPADDR -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR 8 -d $ANYWHERE -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-s $ANYWHERE 8 -d $IPADDR -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR 0 -d $ANYWHERE -j ACCEPT
От smurf-атак:
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-d ** -j DENY -l
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-d ** -j DENY -l
Вместо ** следует прописывать поочереди:
$BROADCAST_DEST
$NETMASK
$NETWORK
Обозначения, как советовалось ранее, используем для простоты изменения настроек:
EXTERNAL_INTERFACE - интерфейс, подключенный к Инету (например, EXTERNAL_INTERFACE="eth0" в твоем случае "lpt")
ANYWHERE - произвольный адрес (ANYWHERE="any/0")
IPADDR="ххх.ххх.ххх.ххх" (IP-шник твоего компа)
BROADCAST_DEST - целевой широковещательный адрес (BROADCAST_DEST="255.255.255.255", например)
NETMASK - маска сети
NETWORK - адрес сети
Принимаем вопросы! Оптом... Ночью дешевле... 
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Wow
Гость
|
| Добавлено: Пт Июл 02 2004 10:29 Заголовок сообщения: |
|
|
#! /bin/sh
fwcmd="/sbin/ipfw"
############
# Flush out the list before we begin.
$fwcmd -q flush
#local nets
local_net1="192.168.138.0"
mask_len="24"
# server ip
local_ip1="192.168.138.2"
# real server ip
rl_ip="213.178.236.18"
dev1="fxp0"
gd_net="213.179.237.0"
#NAT
$fwcmd add 37 divert natd all from any to $rl_ip in via $dev1
$fwcmd add 39 divert natd all from 10.144.0.0/16 to any out via $dev1
$fwcmd add 40 pass tcp from any to any 4000
Вобщем так в томже духе  |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
