https://www.opennet.ru/openforum/vsluhforumID1/80480.html Дико извеняюсь если не там темуц создал, но все таки спрошу... с фрей дружу немного настроил только маршрутизацию. У меня вопрос - как сделать так, что бы трафик раздавался не по всей сети и любому IP адресу, а только на конкретные. <br>вот что у меня прописанно<br>laden# ipfw show<br>00010 19697 2299296 allow ip from 192.168.0.0/24 to 192.168.0.0/24<br>00020 3795331 279666903 divert 8668 ip from 192.168.0.0/24 to any<br>00030 2611894 2864961477 divert 8668 ip from any to 85.198.105.254<br>00040 4522172 4957896054 allow ip from any to 192.168.0.2<br>00050 1527353 104136517 allow ip from 192.168.0.2 to any<br>00060 187311 167245138 allow ip from any to 192.168.0.3<br>00070 83323 13107802 allow ip from 192.168.0.3 to any<br>10000 2699313 766382791 allow ip from any to any<br>65535 21 2076 allow ip from any to any<br><br>что еще дописать??? Заранее спасибо<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#14 Wed, 28 May 2008 02:43:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Это повысит безопасность локалки.. <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;Рекомендую обратиться к rc.firewall как к первоисточнику. <br>&gt;<br>&gt;Абсолютно с этим согласен. <br>&gt;Ну что на это можно сказать?! <br>&gt;Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы <br>&gt;не включать! <br><br> теоретик, блин. я говорю _про безопасность_.<br><br>&gt;Ну а так, я и говорю, что привиденные мною првила - это <br>&gt;минимум. <br><br>Рекомендую обратиться к rc.firewall как к первоисточнику, вкурить его до потери сознания и до получения ясного мышления.<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#13 Tue, 27 May 2008 17:22:33 GMT &gt;[оверквотинг удален]<br>&gt;50 drop all from &lt;серые сети&gt; in via &lt;реальный интерфейс&gt;<br>&gt;60 drop all from any to &lt;мои серые сети&gt; in via &lt;реальный интерфейс&gt;<br>&gt;<br>&gt;__ диверт __ <br>&gt;<br>&gt;<br>&gt;Это повысит безопасность локалки.. <br>&gt;<br>&gt;<br>&gt;Рекомендую обратиться к rc.firewall как к первоисточнику. <br><br>Абсолютно с этим согласен.<br>Ну что на это можно сказать?!<br>Теоретически, если бы все придерживались 50-го првила, то 60-ое можно было бы не включать!<br>Ну а так, я и говорю, что привиденные мною првила - это минимум.<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#12 Tue, 27 May 2008 15:23:27 GMT <br>&gt;Правили 100 и 110 можно объединить в одно <br>&gt;[code]100 divert 8668 ip from any to any via rl0[/code] <br><br>Можно, но не всегда это является нужным и правильным. Иногда (даже более того, в большинстве случаев) _нужно_ делать фильтрацию _до_ диверта:<br><br>например:<br><br>50 drop all from &lt;серые сети&gt; in via &lt;реальный интерфейс&gt;<br>60 drop all from any to &lt;мои серые сети&gt; in via &lt;реальный интерфейс&gt;<br><br>__ диверт __<br><br><br>Это повысит безопасность локалки..<br><br><br>Рекомендую обратиться к rc.firewall как к первоисточнику.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#11 Tue, 27 May 2008 14:03:03 GMT ОписАлся в предыдущем ))<br>В правилах 200 и 210 разумеется вместо /24 читать надо /32<br>[code]# Натим и дивертим через внешний IP и интерфейс rl0 <br>100 divert 8668 ip from 192.168.0.0/24 to any via rl0 <br>110 divert 8668 ip from any to 85.198.105.254 via rl0 <br># Разрешаем инет кому надо <br>200 allow ip from any to 192.168.0.2/32,192.168.0.3/32<br>210 allow ip from 192.168.0.2/32,192.168.0.3/32 to any <br># Разрешаем локалку <br>300 allow ip from 192.168.0.0/24 to 192.168.0.0/24 <br># Запрещаем всем остальным <br>400 deny ip from 192.168.0.0/24 to any[/code] <br>Это тот минимум что нужно <br>Правили 100 и 110 можно объединить в одно <br>[code]100 divert 8668 ip from any to any via rl0[/code] <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#10 Tue, 27 May 2008 14:02:46 GMT &gt;[оверквотинг удален]<br>&gt;# Разрешаем инет кому надо <br>&gt;200 allow ip from any to 192.168.0.2/24,192.168.0.3/24 <br>&gt;210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any <br>&gt;# Разрешаем локалку <br>&gt;300 allow ip from 192.168.0.0/24 to 192.168.0.0/24 <br>&gt;# Запрещаем всем остальным <br>&gt;400 deny ip from 192.168.0.0/24 to any[/code] <br>&gt;Это тот минимум что нужно <br>&gt;Правили 100 и 110 можно объединить в одно <br>&gt;[code]100 divert 8668 ip from any to any via rl0[/code] <br><br>Вааа!!! Огромное спасибо!!!<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#9 Tue, 27 May 2008 13:58:54 GMT &gt;[оверквотинг удален]<br>&gt;00040 4522172 4957896054 allow ip from any to 192.168.0.2 <br>&gt;00050 1527353 104136517 allow ip from 192.168.0.2 to any <br>&gt;00060 187311 167245138 allow ip from any to 192.168.0.3 <br>&gt;00070 83323 13107802 allow ip from 192.168.0.3 to <br>&gt;any <br>&gt;10000 2699313 766382791 allow ip from any to any <br>&gt;65535 21 <br>&gt; 2076 allow ip from any to any <br>&gt;<br>&gt;что еще дописать??? Заранее спасибо<br><br>Если предположим ваш внешний интерфейс rl0 то тогда так<br>[code]# Натим и дивертим через внешний IP и интерфейс rl0<br>100 divert 8668 ip from 192.168.0.0/24 to any via rl0<br>110 divert 8668 ip from any to 85.198.105.254 via rl0<br># Разрешаем инет кому надо<br>200 allow ip from any to 192.168.0.2/24,192.168.0.3/24<br>210 allow ip from 192.168.0.2/24,192.168.0.3/24 to any<br># Разрешаем локалку<br>300 allow ip from 192.168.0.0/24 to 192.168.0.0/24<br># Запрещаем всем остальным<br>400 deny ip from 192.168.0.0/24 to any[/code]<br>Это тот минимум что нужно<br>Правили 100 и 110 можно объединить в одно<br>[code]100 divert https://www.opennet.ru/openforum/vsluhforumID1/80480.html#8 Tue, 27 May 2008 13:12:45 GMT Ладно, все рано спасибо, буду пробовать<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#7 Tue, 27 May 2008 13:03:44 GMT &gt;попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках <br><br>помоему вам нужно обратиться к документации. На сегодня учебные часы окончены.<br> https://www.opennet.ru/openforum/vsluhforumID1/80480.html#6 Tue, 27 May 2008 12:58:56 GMT попоробовал... инет отрубился на всей сети, даже на разрешенных айпишниках<br>