Печать страницы - ipfw с одной сетевой

Название: ipfw с одной сетевой
Отправлено: dzensys от 22 Июля 2011, 01:32:34

Задача сделать роутер с одной сеевой карточкой (экономия средств) будет делаться через алиасы
Вопрос по фаеру какие строки будут идентичны строкам ниже если в качестве условия нельзя ставить интерфейс, а внутренние сети заранее определены.
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
дополнительный вопрос какие косяки могут быть с алиасами на роутере.

Название: Re: ipfw с одной сетевой
Отправлено: Efendy от 22 Июля 2011, 17:46:10

если я не ошибаюсь, то netgraph позволяет создать виртуальный интерфейс на база основного. Имхо так будет проще

Название: Re: ipfw с одной сетевой
Отправлено: VitalVas от 22 Июля 2011, 18:13:00

switch L2 + VLAN вам в помощь

p.s. а что нету 50 грн. на сетевуху?

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 22 Июля 2011, 20:32:05

Цитата: VitalVas от 22 Июля 2011, 18:13:00

switch L2 + VLAN вам в помощь

p.s. а что нету 50 грн. на сетевуху?

+100ye заменача + 90ye каждая сетевуха.) плюс мать надо с нужными слотами под несколкьо сетевух хороших)) Я конечно беру по максимуму но экономия получится не маленькая...

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 22 Июля 2011, 20:36:39

Цитата: Efendy от 22 Июля 2011, 17:46:10

если я не ошибаюсь, то netgraph позволяет создать виртуальный интерфейс на база основного. Имхо так будет проще

Спасибо я тоже посматривал в сторону netgraph но я с ним пока еще не сталкивался)) .. Уже и так столько новых программ боюсь что скоро стены придется отмывать от моих взорвавшихся мозгов ))
Хотелось бы средствами ipfw но если некто не подскажет возьмусь за netgraph

Название: Re: ipfw с одной сетевой
Отправлено: Efendy от 23 Июля 2011, 10:00:42

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 23 Июля 2011, 17:40:14

Цитата: Efendy от 23 Июля 2011, 10:00:42

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

останеться еще
${f} add 2050 deny ip from any to any via ${ifOut}
я думаю оно неплохо замениться на следующее
${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8

Что скажете? :)
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 23 Июля 2011, 17:55:15

Цитата: Efendy от 23 Июля 2011, 10:00:42

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

останеться еще
${f} add 2050 deny ip from any to any via ${ifOut}
я думаю оно неплохо замениться на следующее
${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

Что скажете? :)

Название: Re: ipfw с одной сетевой
Отправлено: Efendy от 24 Июля 2011, 11:01:37

ты б полный текст привел, а то в голове все эти трансформации делать...

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 24 Июля 2011, 16:10:15

Цитата: Efendy от 24 Июля 2011, 11:01:37

ты б полный текст привел, а то в голове все эти трансформации делать...

Полный текст вот :D

Код:

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}
#via ipno
${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

Название: Re: ipfw с одной сетевой
Отправлено: Efendy от 24 Июля 2011, 16:41:55

Большое спасибо, что вы привели цитату моей же документации. Зачем только? Вы когда опросы задаете ставите себя на место отвечающего? Почему кто-то за вас должен производить эти преобразования - брать текст и вносить изменения, нам что делать больше нечего? Потом обижаетесь , что вам никто не отвечает. с таким же успехом попросите вас научить программировать, мы люди добрые - поможем.

Цитировать

${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

это бред, говорящий о том, что логика фаервола нифига не изучалась - начиная с правила 2000 эту цепочку попадают пакеты ИСКЛЮЧИТЕЛЬНО идущие на сервер (к его сервисам, http И т.д), т.е. применение to not 10.0.0.0/8 - бессмысленно.

Кстати, если кому из старожилов интересно, я по этому поводу сделал очень давнее наблюдения, которое очень значительно помогает моим коллегам. Пока я этот синдром никак не назвал, но суть его такая: человек хочет получить помощь, он нифига не знает и важно - НЕ ХОЧЕТ РАЗБИРАТЬСЯ. Что он делает? Он формирует вопрос в таком виде:

- я делал А - нихрена не помогло
- я делал Б - ни хрена не помогло
...
чем больше таким тезисов тем "лучше". Очень важно, чтобы эти тезисы были бредовыми, т.е лишены всякого смысла, после которых идет вопрос "помогите". Ну, например:

- скажите, как настроить фаервол, я пробовал использовать команду cat (я видел как на административных форумах ее рекомендовали), но ничего не помогло, я даже перенаправлял вывод в файл (ведь фаервол может работать с файлом), но и это не помогло (я подозреваю, что баг в системе), помогите - уже 3 дня мучаюсь.

Вот тебе фаер - тестируй, у меня нет возможности провести полное тестирование:

Код:

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 32500 ip from any to 10.0.0.0/8 in
${f} add 210 skipto 4500 ip from 10.0.0.0/8 to any in

${f} add 220 divert 1 ip from 10.0.0.0/8 to any out
${f} add 230 divert 2 ip from any to 10.0.0.0/8 out

${f} add 300 allow ip from any to any

${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from not 10.0.0.0/8 to any
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

Название: Re: ipfw с одной сетевой
Отправлено: versus от 28 Июля 2011, 08:00:25

Стас, для того что бы думать надо во первых наличие головы, во вторых желание ее использовать. То что ты описал банальная лень, которая вызвана системой обучения людей. Раньше учили находить решения и учится, а сейчас учат за деньги. Админов и программистов все меньше и меньше, все больше кодеров и копипастеров. Нафига думать, если можно написать сумбурно все и получить квалифицированный ответ причем абсолютно бесплатно. А если просишь денег, так еще и обижаются.

Название: Re: ipfw с одной сетевой
Отправлено: dzensys от 17 Августа 2011, 21:08:34

Спасибо конечно за комплименты =) Но форум на то и форум чтобы глядя на простые примеры разбираться в сложных вещах) Кстати ваш форум очень отзывчивый в этом плане спасибо его щедрым участникам =)

Название: Re: ipfw с одной сетевой
Отправлено: VitalVas от 18 Августа 2011, 02:04:35

p.s. а почему не пробуете взять обыкновенную р-тековскую карточку и попробовать
у меня(на одной из работ) 350 рыл через нее работает

Биллинговая система Nodeny

Главная категория => Nodeny 49 => Тема начата: dzensys от 22 Июля 2011, 01:32:34