Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
mark5
|
Добавлено: 23-06-06 12:14 Заголовок сообщения: Вопрос по настройке персональных пакетных фильтров |
|
|
Какие правила надо добавить в фильтры (про которые написано вот тут http://isp.vsi.ru/support/ipfw.html), чтобы запретить весь трафик кроме локального? Т.е. надо чтобы остался только трафик с бесплатных ресурсов |
|
Сообщения: 10
|
|
|
Konstantin V. Kuznetsov
|
Добавлено: 23-06-06 13:17 Заголовок сообщения: |
|
|
Ну так ты же сам ссылочку и положил. Там все и описано. |
|
Сообщения: 470
|
|
|
7Sky
|
Добавлено: 23-06-06 14:44 Заголовок сообщения: Re: Вопрос по настройке персональных пакетных фильтров |
|
|
mark5 писал(а): | Какие правила надо добавить в фильтры (про которые написано вот тут http://isp.vsi.ru/support/ipfw.html), чтобы запретить весь трафик кроме локального? Т.е. надо чтобы остался только трафик с бесплатных ресурсов |
Вообще-то этот вопрос уже рассматривался на форуме. Читайте внимательнее. http://isp.vsi.ru/forum/viewtopic.php?t=719 |
|
Сообщения: 176
|
|
|
mark5
|
Добавлено: 27-06-06 18:58 Заголовок сообщения: |
|
|
угу, 7Sky, спасибо |
|
Сообщения: 10
|
|
|
mark5
|
Добавлено: 27-06-06 19:02 Заголовок сообщения: |
|
|
Konstantin V. Kuznetsov писал(а): | Ну так ты же сам ссылочку и положил. Там все и описано. |
угу, я хоть и сисадмин в душе и знаю примерно что такое правила ipfw и иже с ними, но хоть убей не мог понять почему когда я все запрещаю, у меня все равно все качается оказывается надо реконнект сделать... я об этом сам должон догадаться?
ладно я - а совсем непосвященному еще и сложно понять какую маску надо поставить чтобы запретить/разрешить всю подсеть.
могли бы и поподробней ответить или фак поправьте. |
|
Сообщения: 10
|
|
|
Oleg
|
Добавлено: 27-06-06 19:27 Заголовок сообщения: |
|
|
mark5 писал(а): |
угу, я хоть и сисадмин в душе и знаю примерно что такое правила ipfw и иже с ними, но хоть убей не мог понять почему когда я все запрещаю, у меня все равно все качается оказывается надо реконнект сделать... я об этом сам должон догадаться?
|
Так написано же вот здесь:
http://isp.vsi.ru/support/ipfw.html
"Изменения, произведенные в редакторе, будут активизированы при следующем реконнекте". Просто все нужно прочесть внимательно и до конца.
mark5 писал(а): |
ладно я - а совсем непосвященному еще и сложно понять какую маску надо поставить чтобы запретить/разрешить всю подсеть.
могли бы и поподробней ответить или фак поправьте.
|
Ну я не знаю, как понятнее, чем опять же по ссылке выше, объяснить, как получить реверсную маску: "... маска сети указывается в реверсном формате (инвертируются все байты маски). Например, для сети 192.168.0.0 с маской 255.255.255.0 реверсная маска будет равна 0.0.0.255". Объяснять же, что такое вообще маска - это значит скатываться к общеобразовательной книжке, которых полно в любом нормальном книжном магазине. Нужно же иметь какие-то базовые знания. |
|
Сообщения: 1329
|
|
|
vik
|
Добавлено: 01-07-06 00:17 Заголовок сообщения: |
|
|
Выложили бы пару примеров, чтоб понятнее было.
То, что одним ясно, для других полный мрак.
Да я наверное не один такой. |
|
Сообщения: 10
|
|
|
LuCiFer
|
|
Сообщения: 100
|
|
|
vik
|
Добавлено: 04-07-06 22:00 Заголовок сообщения: |
|
|
Спасибо. Теперь понятно. |
|
Сообщения: 10
|
|
|
IN-DIGo
|
Добавлено: 12-07-06 17:16 Заголовок сообщения: что я не так делаю? |
|
|
Создал правила:
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit ip 80.82.32.0/0.0.31.255 none any none
permit ip 88.83.192.0/0.0.31.255 none any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
permit udp 80.82.32.0/0.0.31.255 6881 any none
permit udp 80.82.32.0/0.0.31.255 6881 any none
permit tcp any none any none established
deny tcp any none any none
deny udp any none any none
deny ip any none any none
Переконнектился, что-то вроде работает, но! В фаерволе постоянно срабатывают фильтры, например:
Запретить Назначение 88.83.200.224:10860 - Источник 88.83.201.93:24086; Получено 0 Отправлено 62; Протокол TCP; Создано: 16:59:00; Правило 122
Почему их не режет пакетный фильтр на входе?
И второй вопрос. Почему в примерах выше порт в правилах указывается как порт источника, хотя, по сути, нас интересует порт назначения.
Вопрос номер 3. Фильтруется только входящий трафик? |
|
Сообщения: 15
|
|
|
LuCiFer
|
Добавлено: 12-07-06 17:32 Заголовок сообщения: |
|
|
1. ты такой бред написал в фильтре.....
если на то пошло то так надо:
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 80 any none
permit tcp 80.82.32.0/0.0.31.255 80 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
permit udp 80.82.32.0/0.0.31.255 6881 any none
permit udp 80.82.32.0/0.0.31.255 6881 any none
permit tcp any none any none established ; !!!! вот этого я не понял, тогда строчки ниже терют смысл, воpможно эта строчка не нужна вообще
deny ip any none any none
2. нас интересует порт источника, а на назначение нам все равно |
|
Сообщения: 100
|
|
|
IN-DIGo
|
Добавлено: 12-07-06 22:58 Заголовок сообщения: Вот и мне кажется что что-то не то. |
|
|
Вобщем, ладно. Конкретизирую задачу. Требуется:
-Разрешить входящие соединения по FTP(21) только с внутренних адресов;
-Разрешить торрент (6881) только с внутренних адрессов(так, на всякий случай);
-Разрешить все соединения, инициированные мной(чтобы не надо было каждой новой игрушке и пр. новые правила прописывать), насколько я понял, именно для этого и предусмотренна галочка established;
-Все остальное запретить.
Вроде просто, но чет я запутался блин. Подход к фильтрации незнакомый, хотелось бы конечн. разобраться. Щас таким образом работаетмой фаервол, хочется переложить фильтрацию с него на фильтры провайдера. |
|
Сообщения: 15
|
|
|
LuCiFer
|
Добавлено: 13-07-06 01:13 Заголовок сообщения: |
|
|
а по внутреним сайтам тебе лазить не надо ??? или с торрентов *.torrent фаилы тебе будут по фтп класть???
смысла established я точно не понял, поэтому точно про соединения иницированные тока тобой ниче сказать немогу... но помоему established тут не поможет
учитывая эти две вещи получается вот, что:
deny ip 80.82.32.10 none any none
deny ip 80.82.32.11 none any none
deny ip 80.82.32.19 none any none
deny ip 80.82.32.27 none any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 80 any none
permit tcp 80.82.32.0/0.0.31.255 80 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
permit tcp 80.82.32.0/0.0.31.255 6881 any none
deny ip any none any none
почти то что ты просил кроме, того что разрешен веб на локальных и нету твоих инициированных |
|
Сообщения: 100
|
|
|
IN-DIGo
|
Добавлено: 13-07-06 14:07 Заголовок сообщения: |
|
|
Lucifer, ну, то что ты написал- это явно не то. Да и порт в моем случае надо, наверное, указывать все-таки не источника а назначения, потому как входящее соединение разрешаем на конкретный порт. Ладно. позже сам посижу помазгую, времени пока совсем нет... |
|
Сообщения: 15
|
|
|
icefisher
|
Добавлено: 14-07-06 14:58 Заголовок сообщения: |
|
|
LuCiFer писал(а): |
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
|
а зачем 2 раза одно и тоже писать? |
|
Сообщения: 49
|
|
|
IN-DIGo
|
Добавлено: 14-07-06 15:44 Заголовок сообщения: Блин |
|
|
Проморгал я фишку, что только входящий фильтруется... Буду исправляться. |
|
Сообщения: 15
|
|
|
LuCiFer
|
Добавлено: 14-07-06 17:18 Заголовок сообщения: |
|
|
icefisher писал(а): | LuCiFer писал(а): |
permit tcp 80.82.32.0/0.0.31.255 21 any none
permit tcp 80.82.32.0/0.0.31.255 21 any none
|
а зачем 2 раза одно и тоже писать? |
c Ctrl+C Ctrl+V надо акуратнее |
|
Сообщения: 100
|
|
|
|