ipfw

Dan Lukes dan at gw.nic.cz
Mon May 21 01:13:14 CEST 2001


Tomas TPS Ulej wrote:
> 
> JH> 00050 divert 8668 ip from any to any via xl0
> JH> 00100 allow ip from any to any via lo0
> JH> 00200 deny ip from any to 127.0.0.0/8
> JH> 65000 allow ip from any to any
> JH> 65535 deny ip from any to any
> 
> JH> (interni sit 192.168.1.0, pakety ktere jdou ven prochazeji skrz maskaradu)
> 
> JH> Nyni muze vem kazde ip z interni site.Chtel jsem pristup ven omezit treba
> JH> jenom na ip 192.168.1.10
> JH> smazal jsem proto pravidlo 65000 a pridal pravidla:
> JH> 00300 allow ip from 192.168.1.10 to any
> JH> 00400 allow ip from any to 192.168.1.10
> JH> bohuzel vsak toto nefuguje.
> JH> Nevite prosim nekdo, jake pravidlo bych mel jeste pridat, aby mohl pocitac
> JH> 192.168.1.10 ven?

	Musite si uvedomit, ze nejprve se uplatnilo pravidlo 50, tedy divert a
NAT a pak uaz zase paket nema zdrojovou adresu 192.168.1.10 ...

> co tak
> 
> 00050 divert 8668 ip from 192.168.1.10 to any via xl0 ?
> 00100 allow ip from any to any via lo0
> 00200 deny ip from any to 127.0.0.0/8
> 65000 allow ip from any to any
> 65535 deny ip from any to any
> 
> vnutorne IP mozu ist na vsetky ostatne vnutorne IP.. 1.10 sa divertuje
> aj von...

	To by nemelo fungovat - takhle NATu predavate jen pakety odchazejici
ven z pozadovane IP - ale nedavate mu pakety vracejici se zpatky, takze
celkove preklad nefunguje. Muselo by to spis byt tak nejak takto:

00050 divert 8668 ip from 192.168.1.10 to any xmit xl0 out
00051 divert 8668 ip from any to any recv xl0 in

						Dan

-- 
Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz



More information about the Users-l mailing list