podivne zpomaleni provozu s firewallem PF -OT
Jaroslav Votruba
jaroslav.votruba at keytec.cz
Thu Nov 29 10:59:06 CET 2007
>
> když pan Lachman předvedl konfiguraci PF,zaujala me jedna vec
>
> table <czech_net> persist file "/etc/pf.czech_net.table"
> table <goodguys> persist file "/etc/pf.goodguys.table"
> table <badguys> persist file "/etc/pf.badguys.table"
>
> tohle by se mi libilo i na IPFW,nicmene nikde jsem nenasel po webu ani
> v howto jestli je to mozne.
> Bylo by to krasne prehledny a snadno editovatelny ruznyma scriptama.
narazil jsem v man ipfw(8) na jednu věc,která mě zaujala, ale chtěl bych
mít jistotu ,že jsem to pochopil spravne
If you administer one or more subnets, you can take advantage of the
address sets and or-blocks and write extremely compact rulesets which
selectively enable services to blocks of clients, as below:
goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
badguys="10.1.2.0/24{8,38,60}"
ipfw add allow ip from ${goodguys} to any
ipfw add deny ip from ${badguys} to any
... normal policies ...
1,-20,35,66,18 jsou jiz konkretni ip adresy 10.1.2.20,10.1.2.35 ......... ?
2.-pravidla natahuji po startu ,v /etc/rc.conf mam
firewall_type="/etc/rc.firewall.rules"
ipfw cte pravidla stejne jako bashovy script,tj definovanou promennou
goodguys dosadi na urcene misto ?
pokud ano ,mohu v tomto souboru pouzivat i jine prikazy jako while,for atd?
mohu pomoci tohoto souboru vykonavat i jine prikazy(echo,pripadne
spustit dalsi script)?
3.-pokud mam jadro zkompilovane s volbou open, mohu na zacatku
/etc/rc.firewall.rules nadefinovat prikaz
ipfw -q -f flush a na konci pravidlem deny 65535 ip from any to any z
nej udelam zavreny firewall?
4,- v soucasnosti mam v /etc/rc.firewall.rules syntaxi add 100 pass all
from any to any via lo0, muhu zde pouzit taky
ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe
muhu pouzit jen pri zadavani pres radku(scriptem)?
5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni
sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli
na DNS-nebo se pletu?
predem dekuji za vysvetleni
J.V.
More information about the Users-l
mailing list