podivne zpomaleni provozu s firewallem PF -OT

Jaroslav Votruba jaroslav.votruba at keytec.cz
Thu Nov 29 10:59:06 CET 2007


>
> když pan Lachman předvedl konfiguraci PF,zaujala me jedna vec
>
> table <czech_net> persist file "/etc/pf.czech_net.table"
> table <goodguys> persist file "/etc/pf.goodguys.table"
> table <badguys> persist file "/etc/pf.badguys.table"
>
> tohle by se mi libilo i na IPFW,nicmene nikde jsem nenasel po webu ani 
> v howto jestli je to mozne.
> Bylo by to krasne prehledny a snadno editovatelny ruznyma scriptama.

narazil jsem v man ipfw(8) na jednu věc,která mě zaujala, ale chtěl bych 
mít jistotu ,že jsem to pochopil spravne

 If you administer one or more subnets, you can take advantage of the
     address sets and or-blocks and write extremely compact rulesets which
     selectively enable services to blocks of clients, as below:

           goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
           badguys="10.1.2.0/24{8,38,60}"

           ipfw add allow ip from ${goodguys} to any
           ipfw add deny ip from ${badguys} to any
           ... normal policies ...


1,-20,35,66,18 jsou jiz konkretni ip adresy 10.1.2.20,10.1.2.35 .........  ?

2.-pravidla natahuji po startu ,v /etc/rc.conf  mam 
firewall_type="/etc/rc.firewall.rules"
 ipfw cte pravidla stejne jako bashovy script,tj definovanou promennou 
goodguys dosadi na urcene misto ?
pokud ano ,mohu v tomto souboru pouzivat i jine prikazy jako while,for atd?
mohu pomoci tohoto souboru vykonavat i jine prikazy(echo,pripadne 
spustit dalsi script)?

3.-pokud mam jadro zkompilovane s volbou open, mohu na zacatku 
/etc/rc.firewall.rules nadefinovat prikaz
ipfw -q -f flush a na konci pravidlem deny 65535 ip from any to any z 
nej udelam zavreny firewall?

4,- v soucasnosti mam v  /etc/rc.firewall.rules syntaxi add 100 pass all 
from any to any via lo0, muhu zde pouzit taky
ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe 
muhu pouzit jen pri zadavani pres radku(scriptem)?

5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni 
sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli 
na DNS-nebo se pletu?

predem dekuji za vysvetleni
J.V.





More information about the Users-l mailing list