podivne zpomaleni provozu s firewallem PF -OT
Dan Lukes
dan at obluda.cz
Thu Nov 29 11:36:28 CET 2007
Jaroslav Votruba napsal/wrote, On 11/29/07 10:59:
> narazil jsem v man ipfw(8) na jednu věc,která mě zaujala, ale chtěl bych
> mít jistotu ,že jsem to pochopil spravne
> goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
> ipfw add allow ip from ${goodguys} to any
> 1,-20,35,66,18 jsou jiz konkretni ip adresy 10.1.2.20,10.1.2.35
> ......... ?
Ano, jinak ale asi stacilo si krome examplu prohlednout taky o neco vys
v jakych ruznych formatech lze zapsat adresa - tam je to pospano
detailneji a pomerne jasne.
> ipfw cte pravidla stejne jako bashovy script,tj definovanou promennou
> goodguys dosadi na urcene misto ?
> pokud ano ,mohu v tomto souboru pouzivat i jine prikazy jako while,for atd?
> mohu pomoci tohoto souboru vykonavat i jine prikazy(echo,pripadne
> spustit dalsi script)?
ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym
scriptem. /etc/rc.firewall je shellovsky script
> 3.-pokud mam jadro zkompilovane s volbou open, mohu na zacatku
> /etc/rc.firewall.rules nadefinovat prikaz
> ipfw -q -f flush a na konci pravidlem deny 65535 ip from any to any z
> nej udelam zavreny firewall?
Lepe
set 31 deny 65535 ip from any to any
Takhle zadaneho pravidla se netyka 'flush' a firewall tak zustane
defaultne zavreny i po nem. Otazka je, jaky ma smysl udelat si
default-open a pak ho zavirat - ale mozne to je.
> 4,- v soucasnosti mam v /etc/rc.firewall.rules syntaxi add 100 pass all
> from any to any via lo0, muhu zde pouzit taky
> ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe
> muhu pouzit jen pri zadavani pres radku(scriptem)?
Ja nejak nevidim mezi
> add 100 pass all from any to any via lo0
a
> add 100 pass all from any to any via lo0
rozdil ani v jednom pismenku. Zrejme nerozumim dotazu.
> 5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni
> sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli
> na DNS-nebo se pletu?
Ano - staci to *nebo* se pletes.
Ale abych byl konstruktivni - pletes se.
DNS slouzi (zjednodusene receno) k prevodu jmen na IP adresu. Vlastni
komunikace uz se nijak netyka. Pokdu stanicim zablokujes pristup k DNS
pak jim znemoznis pouze tento prevod. Komunikaci na jim zname IP adresy
nezabranis.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list