Re: podivne zpomaleni provozu s firewallem PF -OT

Thu, 29 Nov 2007 01:59:46 -0800 




když pan Lachman předvedl konfiguraci PF,zaujala me jedna vec

table <czech_net> persist file "/etc/pf.czech_net.table"
table <goodguys> persist file "/etc/pf.goodguys.table"
table <badguys> persist file "/etc/pf.badguys.table"


tohle by se mi libilo i na IPFW,nicmene nikde jsem nenasel po webu ani 
v howto jestli je to mozne.

Bylo by to krasne prehledny a snadno editovatelny ruznyma scriptama.



narazil jsem v man ipfw(8) na jednu věc,která mě zaujala, ale chtěl bych 
mít jistotu ,že jsem to pochopil spravne


If you administer one or more subnets, you can take advantage of the
    address sets and or-blocks and write extremely compact rulesets which
    selectively enable services to blocks of clients, as below:

          goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
          badguys="10.1.2.0/24{8,38,60}"

          ipfw add allow ip from ${goodguys} to any
          ipfw add deny ip from ${badguys} to any
          ... normal policies ...


1,-20,35,66,18 jsou jiz konkretni ip adresy 10.1.2.20,10.1.2.35 .........  ?


2.-pravidla natahuji po startu ,v /etc/rc.conf  mam 
firewall_type="/etc/rc.firewall.rules"
ipfw cte pravidla stejne jako bashovy script,tj definovanou promennou 
goodguys dosadi na urcene misto ?

pokud ano ,mohu v tomto souboru pouzivat i jine prikazy jako while,for atd?

mohu pomoci tohoto souboru vykonavat i jine prikazy(echo,pripadne 
spustit dalsi script)?



3.-pokud mam jadro zkompilovane s volbou open, mohu na zacatku 
/etc/rc.firewall.rules nadefinovat prikaz
ipfw -q -f flush a na konci pravidlem deny 65535 ip from any to any z 
nej udelam zavreny firewall?



4,- v soucasnosti mam v  /etc/rc.firewall.rules syntaxi add 100 pass all 
from any to any via lo0, muhu zde pouzit taky
ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe 
muhu pouzit jen pri zadavani pres radku(scriptem)?



5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni 
sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli 
na DNS-nebo se pletu?


predem dekuji za vysvetleni
J.V.




-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem