ipfw add deny ip from 192.168.111.1 to any

handler · 13 февраля, 2008

freebsd 6.2

myk0 - external interface

xl0 - internal interface

мне нужно запретить доступ всем пользователям кроме определенных адресов

почитал ман и в качестве тренировки решил запретить доступ одной машине с адресом 192.168.111.1

# ipfw add deny ip from 192.168.111.1 to any

# ipfw add deny ip from any to 192.168.111.1

# ipfw list

00050 divert 8668 ip4 from any to any via myk0

00100 allow ip from any to any via lo0

00200 deny ip from any to 127.0.0.0/8

00300 deny ip from 127.0.0.0/8 to any

65000 allow ip from any to any

65100 deny ip from 192.168.111.1 to any

65200 deny ip from any to 192.168.111.1

65300 deny ip from 192.168.111.1 to any via xl0

65535 deny ip from any to any

но машина по-прежнему ходит в нет

что я сделал не так?

в идеале думаю создать файл users в который поместить ip-адреса пользователей которым открыт доступ а всем остальным запретить

/etc/users

my_users="{12.168.0.0/16{111.1,111.2,111.3}}"

ipfw add allow ip from ${my_users} to any

ipfw add deny ip from any to any

и включить скрипт

/etc/rc.conf

firewall_script="/etc/users"

я правильно все сформулировал?

Ineu · 13 февраля, 2008

Алексей писал(а) Wed, 13 February 2008 11:39

что я сделал не так?

Цитата:

65000 allow ip from any to any

handler · 13 февраля, 2008

allow ip x.x.x.x to any

allow ip from any to x.x.x.x

deny ip from any to any

все равно не пускает

что-то я запутался

vpk_vpk · 15 февраля, 2008

Пускает или не пускает?

handler · 15 февраля, 2008

00050 divert 8668 ip4 from any to any via myk0

00100 allow ip from any to any via lo0

00200 deny ip from any to 127.0.0.0/8

00300 deny ip from 127.0.0.0/8 to any

60000 allow ip from 192.168.111.1 to any via xl0

61000 allow ip from any to 192.168.111.1

65000 allow ip from any to any

65535 deny ip from any to any

не хватает только правила

63000 deny ip from any to any

если пропишу не выйду в нет я вся моя сеть

cppmm · 15 февраля, 2008

Внимательнее почитайте ман ipfw про порядок попадания пакетов под правила.

Кроме этого, вам уже сказали, что

Цитата:

65000 allow ip from any to any

лишнее.

И к чему вот это было:

Цитата:

не хватает только правила

63000 deny ip from any to any

я вообще не понимаю.

А так же зачем эта каша?

Цитата:

00100 allow ip from any to any via lo0

00200 deny ip from any to 127.0.0.0/8

00300 deny ip from 127.0.0.0/8 to any

handler · 18 февраля, 2008

я их не писал - их фаер сам прописал по-умолчанию я лишь прописал

/etc/rc.conf

firewall_enable="yes"

firewall_type="open"

и добавил строки

60000 allow ip from 192.168.111.1 to any via xl0

61000 allow ip from any to 192.168.111.1

строка

63000 deny ip from any to any

закроет доступ ко всему

я их не писал - их фаер сам прописал по-умолчанию я лишь прописал

/etc/rc.conf

firewall_enable="yes"

firewall_type="open"

и добавил строки

60000 allow ip from 192.168.111.1 to any via xl0

61000 allow ip from any to 192.168.111.1

строка

63000 deny ip from any to any

закроет доступ ко всему

Проблему решила строка

ipfw add allow ip from me to any keep-state

перед строкой запрещяющей всем остальным пакетам прозодить по сети

ipfw add deny ip from any to any

мне подсказали что т к у меня пакеты натятся то после этого они имеют мой внешний ип

cppmm · 18 февраля, 2008

Натятся пакеты, выходя за внешний интерфейс. К настройкам доступа из локальной сетки это отношения не имеет.

Правило "запретить всем" нужно ставить один раз в самом конце, вы же пытались добавить его дважды.

"65000 allow ip from any to any" нужно было убрать совсем. Разумеется подефолту оно будет, так как разрешено всё. Если его оставить, вы открываете доступ всем, кто не описан в предидущих правилах. Именно поэтому я посоветовал почитать про порядок попадения пакетов в правила.

В общем, лучше всё-таки ознакомиться с маном и написать осмысленный фаерволл, а не делать всё методом научного тыка.

handler · 18 февраля, 2008

cppmm писал(а) Mon, 18 February 2008 16:13

Натятся пакеты, выходя за внешний интерфейс. К настройкам доступа из локальной сетки это отношения не имеет.

Правило "запретить всем" нужно ставить один раз в самом конце, вы же пытались добавить его дважды.

"65000 allow ip from any to any" нужно было убрать совсем. Разумеется подефолту оно будет, так как разрешено всё. Если его оставить, вы открываете доступ всем, кто не описан в предидущих правилах. Именно поэтому я посоветовал почитать про порядок попадения пакетов в правила.

В общем, лучше всё-таки ознакомиться с маном и написать осмысленный фаерволл, а не делать всё методом научного тыка.

правила которые я вам описал фаер сам добавлял я запретил дважды прохождение пакетов т к один запрет мой а второй в конце фаера - я не стал удалять строки из скрипта тк еще не совсем разбираюсь в нем

а по поводу ната именно строка

allow ip from me to any

открыла доступ перечисленным адресам в нет

и следующая строка

deny ip from any to any

запретила доступ всем остальным

далее посоветовали засунуть все в table

table 1 add my_users

в мане написано так и к pipe привязать можно там и скорость раскидать по адресам и прочее

Спасибо что подсказываете а то самому маны тяжело курить

handler · 20 февраля, 2008

для каждого клиента в сети прописаны два правила

allow ip from x.x.x.x to any

allow ip from any to x.x.x.x

в конце

allow ip from me to any keep-state

pipe 1 ip from any to x.x.x.x

pipe 1 ip from x.x.x.x to any out

pipe 1 config bw 512kbit/s

deny ip from any to any

все равно ограничение не работает

и еще: кто-то в сети занял адрес другого клиента - как поставить ограничение по мак-адресу чтобы адрес мог назначить только один клиент?

cppmm · 20 февраля, 2008

Касательно мак-адресов man arp на предмет опции -f

handler · 22 февраля, 2008

с маками разобрался arpwatch

если я набираю

ipfw pipe list

выдает мой канал

00001: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail

но если я удалю правила

allow ip from x.x.x.x to any

allow ip from any to x.x.x.x

тогда статистика по моему каналу болеее обширная видно что правило направляет его в мой канал

да только пакеты не пропускает в нет - машина блокируется фаером

надеюсь только на ваш совет

и еще такая странная веСЧЬ

захожу на форум с машины на которой стоит сам фаер(нат днс и пр) на сайты пускает только вот при попытке отправить сообщение не дает это сделать

видно что метод "POST" для <FORM> фаер обрабатывает по-особенному

handler · 22 февраля, 2008

кажется заработало

судя по команде

ipfw pipe list

пишет

prot TCP

тогда я прописал правила так

pipe 1 TCP from x.x.x.x to any

pipe 1 TCP from any to x.x.x.x

pipe 1 config bw 1024Kbit/s // действительно выходит 512?

вроде бы все нормально но например ни на freebsd.org ни на google.com я попасть не могу а на другие сайты в том числе и на этот пускает

после добавления строк

pipe 1 IP from x.x.x.x to any

pipe 1 IP from any to x.x.x.x

дает доступ ко всем сайтам (которые я посещаю)

на freebsd.org зашел чтобы проверить скорость закачки образа диска - ограничение работает!

Беспокоит наличие 4-х строк на каждого клиента а если сеть большая?

и почему скорость канала ставить в 2 раза больше тем более что входящий и исходящий трафик на разных скоростях?

ipfw add deny ip from 192.168.111.1 to any

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Присоединяйтесь к обсуждению