vice adres na jednom radku pri zadavani pravidla v IPFW

Zbyněk Burget zburget at burgnet.cz
Wed Nov 26 22:36:13 CET 2008


Jaroslav Votruba napsal(a):
> 
> vygooglil jsem, ze by to melo fungovat jen pro 12 adres. Ta tabulka se 
> zda bejt dobry reseni.

Tabulka se nijak nedefinuje, proste se pouziva.
vyrobis si pravidlo, kde bude tabulka pouzita

 > ipfw add 21999 set 15 deny ip from "table(1)" to 1.2.3.4

kdyz je tabulka prazdna, tak se pravidlo nijak neprojevi.
Kdyz do ni nejakou hodnotu vlozis napr.:
> 
> ipfw -q table 1 add 220.228.0.0/15
> ipfw -q table 1 add 220.232.64.0/18
> ipfw -q table 1 add 220.232.128.0/17
> 

Tak se pravidlo projevovat zacne.

> musi byt nejdriv definovana tabulka a pak ji naplnit, nebo je to jedno?

Tabulky se nikde nedefinuji proste jsou. Jestli je ve firewallu pouzijes 
nebo ne, jestli je naplnis nebo ne, je jen na tobe.

> pokud je jednou definovana tabulka, muzu ji plnit za "chodu", nebo ji 
> musim smaznout (reloadnout) a znova nadefinovat?

porad s tim definovanum :-(
tabulku muzes za chodu plnit, mazat (ipfw table 1 flush) nebo umazavat 
jednotlive polozky (ipfw table 1 delete 1.2.3.4)

> neni mozne vytvorit nejaky soubor, ze ktereho by se ty pravidla do 
> tabulky nacitali? Pokud ano, jaky ma mit format. Priznam se ,ze v manu 
> jsem toho o tabulkach moc nenasel.

V manu je to popsano celkem dost dobre - tedy ja nikdy nepotreboval 
hledat nic jineho.
Soubor neni problem ja to s vyhodou pouzivam na ruzne veci.
vychazej opet z manu - nasledujici plati pro tabulky, jako pro cokoli 
jineho u ipwf:

ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname

To ease configuration, rules can be put into a file which is processed
using ipfw as shown in the last synopsis line.  An absolute pathname 
must be used.  The file will be read line by line and applied as 
arguments to the ipfw utility.

Takze tvuj soubor bude mit format napr.:

table 1 add 220.228.0.0/15 0
table 1 add 220.232.64.0/18 0
table 1 add 220.232.128.0/17 0

pripadne muze byt na zacatku souboru radek:

table 1 flush

ty nuly na konci kazdeho radku jsou tablearg, nevim, jestli tam musi byt 
i ve vyse uvedenem pripade, ja mam ve svych souborech s tabulkami u 
kazdeho radku nejaky komentar a bez tablearg mi to nefungovalo. Dnes 
tablearg ve firewallu pouzivam, takze jeho uvadeni je u mne nutnost. 
Muzes to odzkouset i bez toho argumentu.



> Kde najdu nadefinovane  "zolikove" zkratky do ipwf , napr "my" 
> "my-subnet" "all" a podobne?

man ipfw
je to podle mne jeden z nejlip napsanych manu, kdyz jsem kdysi 
sestavoval firewall, necetl jsem nic jineho a nasel jsem tam uplne 
vsechno, co jsem potreboval. Jsou tam pouze dost postatne veci, ktere si 
clovek proste musi uvedomit. Sice jsou tam napsane, ale kdyz je toho 
moc, tak se to tak nejak ztrati v obsahu. A pak se divis, proc to dela 
neco jineho, nez jsi cekal. Staci si znovu precist man a ono to tam fakt 
nekde vsechno bude napsane.


Jinak - ke tve snaze o blokovaci skript - nechci te z tveho procvicovani 
zrazovat, ale zkusil bych okouknout port security/bruteblock - pokud ho 
primo nebudes chtit nasadit, bude ti treba alespon inspiraci, jak to 
delaji jini.


Zbynek



More information about the Users-l mailing list