Jaroslav Votruba napsal/wrote, On 11/29/07 12:32:
>> ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym
>> scriptem. /etc/rc.firewall je shellovsky script
>>
>>
> takze includy nejsou problem? v jednom predchazejicim threadu jste
> rikal,ze aktualizace
>
> /etc/rc.firewall.rules
> se pak musi zabezpecit jednoduchym scriptem. Coz si trochu protireci.
> rc.firewall.rules je script a aby v nem fungivali includy se musi
> osetrit dalsim scriptem? Nebo jste to myslel jinak,ale vyznelo to tak
> jak jsem to pochopil?
Nevim, o kterem z mych prispevku je tu rec. Myslim, ze kdyz se tu o
necem podobne mluvilo naposled, tak to byla rec o tabulkach v ramci
ipfw, ktere mely v ramci hotoveho firewallu pouze definovat mnoziny
stroju, kterych se to-ktere pravidlo tyka. A ty seznamy se obcas menily.
Navrhoval jsem, aby se separatnim scriptem resilo naplneni obsahu
tabulky aktualnimi udaji.
O includech tam snad zadna rec nebyla, pokud si pamatuju.
> to set 31 ma nejakou specialni funkci,nebo kdyz napisu jiny cislo misto
> ty 31 je to jedno jaky tam je cislo?
man ipfw
sekce SETS OF RULES
>>> 4,- v soucasnosti mam v /etc/rc.firewall.rules syntaxi add 100 pass
>>> all from any to any via lo0, muhu zde pouzit taky
>>> ipwf add 100 pass all from any to any via lo0?
> rozdil je v
>
> add 100 pass all from any to any via lo0
> a
> ipwf add 100 pass all from any to any via lo0
Aha - tak to si mozna celou dobu nerozumime. Naplnit firewallu pravidla
lze dvema zpusoby - tak, ze se vola ipfw pro pridani kazdeho pravidla
zvlast. To se dela nejcasteji shellovskym scriptem (nebo rucne z
prikazove radky). Defaultne to system pri startu dela prave tak.
Shellovsky script k tomu pouzity je shellovsky script se vsemi dusledky,
ktere z toho plynou.
Druha moznost je zavolat ipfw jen jednou a dat mu soubor, ve kterem
jsou vsechny pozadovane operace popsane najednou. Tento soubor pak
samozrejme neni shellovsky script se vsemi dusledky, ktere z toho plynou.
Takze - jakou metodu pouzivas ty a jak zni presne otazka ?
>>> 5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni
>>> sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby
>>> nemohli na DNS-nebo se pletu?
> me docela staci,za se nedostanou na DNS, neznam nikoho kdo si pamatuje
> IP adresy z hlavy. pokud lidi nebudou vedet,ze to nefacha jen kvuly
Jak myslis. Ja bych uzivatele nepodcenoval (nejmene ty, kteri maji doma
nejakeho technicky vzdelanejsiho syna). A uz vubec bych nepodcenoval
pripadne viry na takovych pocitacich, ktere ke svym komunikacim DNS
pomerne casto nepotrebuji. Ale pokdu na tom, jestli komunikuji nebo ne
vlastne az tak moc nezalezi, tak to jde i takhle.Ty jsi spravce, ty vis
jak hodne jim chces v komunikaci branit.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
