Jaroslav Votruba napsal(a):

vygooglil jsem, ze by to melo fungovat jen pro 12 adres. Ta tabulka se zda bejt dobry reseni.

Tabulka se nijak nedefinuje, proste se pouziva.
vyrobis si pravidlo, kde bude tabulka pouzita

> ipfw add 21999 set 15 deny ip from "table(1)" to 1.2.3.4

kdyz je tabulka prazdna, tak se pravidlo nijak neprojevi.
Kdyz do ni nejakou hodnotu vlozis napr.:

ipfw -q table 1 add 220.228.0.0/15
ipfw -q table 1 add 220.232.64.0/18
ipfw -q table 1 add 220.232.128.0/17


Tak se pravidlo projevovat zacne.

musi byt nejdriv definovana tabulka a pak ji naplnit, nebo je to jedno?

Tabulky se nikde nedefinuji proste jsou. Jestli je ve firewallu pouzijes nebo ne, jestli je naplnis nebo ne, je jen na tobe.

pokud je jednou definovana tabulka, muzu ji plnit za "chodu", nebo ji musim smaznout (reloadnout) a znova nadefinovat?

porad s tim definovanum :-(
tabulku muzes za chodu plnit, mazat (ipfw table 1 flush) nebo umazavat jednotlive polozky (ipfw table 1 delete 1.2.3.4)

neni mozne vytvorit nejaky soubor, ze ktereho by se ty pravidla do tabulky nacitali? Pokud ano, jaky ma mit format. Priznam se ,ze v manu jsem toho o tabulkach moc nenasel.

V manu je to popsano celkem dost dobre - tedy ja nikdy nepotreboval hledat nic jineho.
Soubor neni problem ja to s vyhodou pouzivam na ruzne veci.
vychazej opet z manu - nasledujici plati pro tabulky, jako pro cokoli jineho u ipwf:

ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname

To ease configuration, rules can be put into a file which is processed
using ipfw as shown in the last synopsis line. An absolute pathname must be used. The file will be read line by line and applied as arguments to the ipfw utility.

Takze tvuj soubor bude mit format napr.:

table 1 add 220.228.0.0/15 0
table 1 add 220.232.64.0/18 0
table 1 add 220.232.128.0/17 0

pripadne muze byt na zacatku souboru radek:

table 1 flush

ty nuly na konci kazdeho radku jsou tablearg, nevim, jestli tam musi byt i ve vyse uvedenem pripade, ja mam ve svych souborech s tabulkami u kazdeho radku nejaky komentar a bez tablearg mi to nefungovalo. Dnes tablearg ve firewallu pouzivam, takze jeho uvadeni je u mne nutnost. Muzes to odzkouset i bez toho argumentu.



Kde najdu nadefinovane "zolikove" zkratky do ipwf , napr "my" "my-subnet" "all" a podobne?

man ipfw
je to podle mne jeden z nejlip napsanych manu, kdyz jsem kdysi sestavoval firewall, necetl jsem nic jineho a nasel jsem tam uplne vsechno, co jsem potreboval. Jsou tam pouze dost postatne veci, ktere si clovek proste musi uvedomit. Sice jsou tam napsane, ale kdyz je toho moc, tak se to tak nejak ztrati v obsahu. A pak se divis, proc to dela neco jineho, nez jsi cekal. Staci si znovu precist man a ono to tam fakt nekde vsechno bude napsane.


Jinak - ke tve snaze o blokovaci skript - nechci te z tveho procvicovani zrazovat, ale zkusil bych okouknout port security/bruteblock - pokud ho primo nebudes chtit nasadit, bude ti treba alespon inspiraci, jak to delaji jini.


Zbynek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem