vice adres na jednom radku pri zadavani pravidla v IPFW
Zbyněk Burget
zburget at burgnet.cz
Wed Nov 26 22:36:13 CET 2008
Jaroslav Votruba napsal(a):
>
> vygooglil jsem, ze by to melo fungovat jen pro 12 adres. Ta tabulka se
> zda bejt dobry reseni.
Tabulka se nijak nedefinuje, proste se pouziva.
vyrobis si pravidlo, kde bude tabulka pouzita
> ipfw add 21999 set 15 deny ip from "table(1)" to 1.2.3.4
kdyz je tabulka prazdna, tak se pravidlo nijak neprojevi.
Kdyz do ni nejakou hodnotu vlozis napr.:
>
> ipfw -q table 1 add 220.228.0.0/15
> ipfw -q table 1 add 220.232.64.0/18
> ipfw -q table 1 add 220.232.128.0/17
>
Tak se pravidlo projevovat zacne.
> musi byt nejdriv definovana tabulka a pak ji naplnit, nebo je to jedno?
Tabulky se nikde nedefinuji proste jsou. Jestli je ve firewallu pouzijes
nebo ne, jestli je naplnis nebo ne, je jen na tobe.
> pokud je jednou definovana tabulka, muzu ji plnit za "chodu", nebo ji
> musim smaznout (reloadnout) a znova nadefinovat?
porad s tim definovanum :-(
tabulku muzes za chodu plnit, mazat (ipfw table 1 flush) nebo umazavat
jednotlive polozky (ipfw table 1 delete 1.2.3.4)
> neni mozne vytvorit nejaky soubor, ze ktereho by se ty pravidla do
> tabulky nacitali? Pokud ano, jaky ma mit format. Priznam se ,ze v manu
> jsem toho o tabulkach moc nenasel.
V manu je to popsano celkem dost dobre - tedy ja nikdy nepotreboval
hledat nic jineho.
Soubor neni problem ja to s vyhodou pouzivam na ruzne veci.
vychazej opet z manu - nasledujici plati pro tabulky, jako pro cokoli
jineho u ipwf:
ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname
To ease configuration, rules can be put into a file which is processed
using ipfw as shown in the last synopsis line. An absolute pathname
must be used. The file will be read line by line and applied as
arguments to the ipfw utility.
Takze tvuj soubor bude mit format napr.:
table 1 add 220.228.0.0/15 0
table 1 add 220.232.64.0/18 0
table 1 add 220.232.128.0/17 0
pripadne muze byt na zacatku souboru radek:
table 1 flush
ty nuly na konci kazdeho radku jsou tablearg, nevim, jestli tam musi byt
i ve vyse uvedenem pripade, ja mam ve svych souborech s tabulkami u
kazdeho radku nejaky komentar a bez tablearg mi to nefungovalo. Dnes
tablearg ve firewallu pouzivam, takze jeho uvadeni je u mne nutnost.
Muzes to odzkouset i bez toho argumentu.
> Kde najdu nadefinovane "zolikove" zkratky do ipwf , napr "my"
> "my-subnet" "all" a podobne?
man ipfw
je to podle mne jeden z nejlip napsanych manu, kdyz jsem kdysi
sestavoval firewall, necetl jsem nic jineho a nasel jsem tam uplne
vsechno, co jsem potreboval. Jsou tam pouze dost postatne veci, ktere si
clovek proste musi uvedomit. Sice jsou tam napsane, ale kdyz je toho
moc, tak se to tak nejak ztrati v obsahu. A pak se divis, proc to dela
neco jineho, nez jsi cekal. Staci si znovu precist man a ono to tam fakt
nekde vsechno bude napsane.
Jinak - ke tve snaze o blokovaci skript - nechci te z tveho procvicovani
zrazovat, ale zkusil bych okouknout port security/bruteblock - pokud ho
primo nebudes chtit nasadit, bude ti treba alespon inspiraci, jak to
delaji jini.
Zbynek
More information about the Users-l
mailing list