ipfw с одной сетевой

[dzensys]

Задача сделать роутер с одной сеевой карточкой (экономия средств) будет делаться через алиасы
Вопрос по фаеру какие строки будут идентичны строкам ниже если в качестве условия нельзя ставить интерфейс, а внутренние сети заранее определены.
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
дополнительный вопрос какие косяки могут быть с алиасами на роутере.

[Efendy]

если я не ошибаюсь, то netgraph позволяет создать виртуальный интерфейс на база основного. Имхо так будет проще

[VitalVas]

switch L2 + VLAN вам в помощь

p.s. а что нету 50 грн. на сетевуху?

[dzensys]

switch L2 + VLAN вам в помощь

p.s. а что нету 50 грн. на сетевуху?

+100ye заменача  + 90ye каждая сетевуха.) плюс мать надо с нужными слотами под несколкьо сетевух хороших)) Я конечно беру по максимуму но экономия получится не маленькая...

[dzensys]

если я не ошибаюсь, то netgraph позволяет создать виртуальный интерфейс на база основного. Имхо так будет проще

Спасибо я тоже посматривал в сторону netgraph но я с ним пока еще не сталкивался)) .. Уже и так столько новых программ боюсь что скоро стены придется отмывать от моих взорвавшихся мозгов ))
Хотелось бы средствами ipfw но если некто не подскажет возьмусь за netgraph

[Efendy]

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

[dzensys]

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

останеться еще
${f} add 2050 deny ip from any to any via ${ifOut}
я думаю оно неплохо замениться на следующее
${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8

Что скажете?
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

[dzensys]

здесь 10.0.0.0/8 сеть клиентов.

200 skipto 32500 ip from any to 10.0.0.0/8 in
210 skipto 510 ip from 10.0.0.0/8 to any out
delete 400
delete 420
delete 500

останеться еще
${f} add 2050 deny ip from any to any via ${ifOut}
я думаю оно неплохо замениться на следующее
${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

Что скажете?

[Efendy]

ты б полный текст привел, а то в голове все эти трансформации делать...

[dzensys]

ты б полный текст привел, а то в голове все эти трансформации делать...

Полный текст вот

Код:

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}
#via ipno
${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

[Efendy]

Большое спасибо, что вы привели цитату моей же документации. Зачем только? Вы когда опросы задаете ставите себя на место отвечающего?  Почему кто-то за вас должен производить эти преобразования - брать текст и вносить изменения, нам что делать больше нечего? Потом обижаетесь , что вам никто не отвечает. с таким же успехом попросите вас научить программировать, мы люди добрые - поможем.

${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8
${f} add 2052 deny ip from not 10.0.0.0/8 to me
${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8
${f} add 2054 deny ip from me to not 10.0.0.0/8

это бред, говорящий о том, что логика фаервола нифига не изучалась - начиная с правила 2000 эту цепочку попадают пакеты ИСКЛЮЧИТЕЛЬНО идущие на сервер (к его сервисам, http И т.д), т.е. применение to not 10.0.0.0/8 - бессмысленно.

Кстати, если кому из старожилов интересно, я по этому поводу сделал очень давнее наблюдения, которое очень значительно помогает моим коллегам. Пока я этот синдром никак не назвал, но суть его такая: человек хочет получить помощь, он нифига не знает и важно - НЕ ХОЧЕТ РАЗБИРАТЬСЯ. Что он делает? Он формирует вопрос в таком виде:

- я делал А - нихрена не помогло
- я делал Б - ни хрена не помогло
...
чем больше таким тезисов тем "лучше". Очень важно, чтобы эти тезисы были бредовыми, т.е лишены всякого смысла, после которых идет вопрос "помогите". Ну, например:

- скажите, как настроить фаервол, я пробовал использовать команду cat (я видел как на административных форумах ее рекомендовали), но ничего не помогло, я даже перенаправлял вывод в файл (ведь фаервол может работать с файлом),  но и это не помогло (я подозреваю, что баг в системе), помогите - уже 3 дня мучаюсь.

Вот тебе фаер - тестируй, у меня нет возможности провести полное тестирование:

Код:

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 32500 ip from any to 10.0.0.0/8 in
${f} add 210 skipto 4500 ip from 10.0.0.0/8 to any in

${f} add 220 divert 1 ip from 10.0.0.0/8 to any out
${f} add 230 divert 2 ip from any to 10.0.0.0/8 out

${f} add 300 allow ip from any to any

${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from not 10.0.0.0/8 to any
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

[versus]

Стас, для того что бы думать надо во первых наличие головы, во вторых желание ее использовать. То что ты описал банальная лень, которая вызвана системой обучения людей. Раньше учили находить решения и учится, а сейчас учат за деньги. Админов и программистов все меньше и меньше, все больше кодеров и копипастеров. Нафига думать, если можно написать сумбурно все и получить квалифицированный ответ причем абсолютно бесплатно. А если просишь денег, так еще и обижаются.

[dzensys]

 Спасибо конечно за комплименты =) Но форум на то и форум чтобы глядя на простые примеры разбираться в сложных вещах) Кстати ваш форум очень отзывчивый в этом плане спасибо его щедрым участникам =)

[VitalVas]

p.s. а почему не пробуете взять обыкновенную р-тековскую карточку и попробовать
у меня(на одной из работ) 350 рыл через нее работает