podivne zpomaleni provozu s firewallem PF -OT

Dan Lukes dan at obluda.cz
Thu Nov 29 11:36:28 CET 2007


Jaroslav Votruba napsal/wrote, On 11/29/07 10:59:
> narazil jsem v man ipfw(8) na jednu věc,která mě zaujala, ale chtěl bych 
> mít jistotu ,že jsem to pochopil spravne

>           goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"

>           ipfw add allow ip from ${goodguys} to any

> 1,-20,35,66,18 jsou jiz konkretni ip adresy 10.1.2.20,10.1.2.35 
> .........  ?

	Ano, jinak ale asi stacilo si krome examplu prohlednout taky o neco vys 
v jakych ruznych formatech lze zapsat adresa - tam je to pospano 
detailneji a pomerne jasne.


> ipfw cte pravidla stejne jako bashovy script,tj definovanou promennou 
> goodguys dosadi na urcene misto ?
> pokud ano ,mohu v tomto souboru pouzivat i jine prikazy jako while,for atd?
> mohu pomoci tohoto souboru vykonavat i jine prikazy(echo,pripadne 
> spustit dalsi script)?

	ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym 
scriptem. /etc/rc.firewall je shellovsky script

> 3.-pokud mam jadro zkompilovane s volbou open, mohu na zacatku 
> /etc/rc.firewall.rules nadefinovat prikaz
> ipfw -q -f flush a na konci pravidlem deny 65535 ip from any to any z 
> nej udelam zavreny firewall?

Lepe
set 31 deny 65535 ip from any to any

Takhle zadaneho pravidla se netyka 'flush' a firewall tak zustane 
defaultne zavreny i po nem. Otazka je, jaky ma smysl udelat si 
default-open a pak ho zavirat - ale mozne to je.

> 4,- v soucasnosti mam v  /etc/rc.firewall.rules syntaxi add 100 pass all 
> from any to any via lo0, muhu zde pouzit taky
> ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe 
> muhu pouzit jen pri zadavani pres radku(scriptem)?

	Ja nejak nevidim mezi
 > add 100 pass all from any to any via lo0
a
 > add 100 pass all from any to any via lo0

	rozdil ani v jednom pismenku. Zrejme nerozumim dotazu.

> 5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni 
> sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli 
> na DNS-nebo se pletu?

	Ano - staci to *nebo* se pletes.

	Ale abych byl konstruktivni - pletes se.

	DNS slouzi (zjednodusene receno) k prevodu jmen na IP adresu. Vlastni 
komunikace uz se nijak netyka. Pokdu stanicim zablokujes pristup k DNS 
pak jim znemoznis pouze tento prevod. Komunikaci na jim zname IP adresy 
nezabranis.

						Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz





More information about the Users-l mailing list