/s/ - IPFW

IPFW Аноним (Microsoft Windows 7: Vivaldi) 11/12/16 Вск 18:54:38 №1909094

Народ, подскажите, правильно ли я понял принцип работы, и достаточно ли этого для цели "можно заходить только с двух определённых IP" ?

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100 deny ip from not 1X.XXX.XXX.XX,2X.XXX.XXX.XX to me
65000 allow ip from any to any
65535 deny ip from any to any

Правила 100-1000 - стандартные в FreeBSD, правило 1100 - отсекает все входящие соединения кроме как с IP №1 и №2 (1X.XXX.XXX.XX, 2X.XXX.XXX.XX), правило 65000 позволяет трафику свободно бегать, т.к. по IP уже филтрация прошла, а правило 65535 закрывает всё, что не открыто правилами ранее, т.е. отпределяет фаерволл закрытого типа. На практике проверял, всё норм, вопрос - я всё правильно расписал?

Аноним (Google Android: Mobile Safari) 12/12/16 Пнд 00:13:25 №1909332

pump

Аноним (Microsoft Windows 7: Firefox based) 12/12/16 Пнд 10:43:21 №1909523

>>1909094 (OP)
правила твои полная хуйня
зачем нужно разрешающее правило после того, как ты запретил хождение всего IP трафика?
оно будет выполняться лишь для твоих двух IP
последнее правило тоже бесполезно.

>трафику свободно бегать, т.к. по IP уже филтрация прошла
какому-такому трафику? ты фильтруешь снова по IP.
deny ip
>а правило 65535 закрывает всё
что оно закрывает, лол? у тебя все открыто 65000

на твоем бы месте я бы сделал правила, разрешающие хождение трафика для определенных IP а все остальное бы порезал последним правилом.

ipfw pass ip ip1 to me
ipfw pass ip ip2 to me
...

а если эти IP часто меняются, то лучше все сделать через таблицы.

зачем отдельные правила - чтобы можно было узреть количество пакетов, прошедших по этим правилам и понять, ходят ли они вообще.

Аноним (Microsoft Windows 7: Vivaldi) 12/12/16 Пнд 23:58:01 №1909979

>>1909523
Сделал, в итоге потерял доступ к компу. Я 65000 для того и оставил, чтобы после того как я зайду с определённого IP и пройду отсеивание, я имел полную свободу. 65535 кстати, тоже стандартное правило в FreeBSD которое дописывается в конец. Вот все мои правила из /etc/firewall.conf (обращение к которым я прописал в rc.conf как firewall_type="/etc/firewall.conf")

add deny ip from not 1X.XXX.XXX.XX,2X.XXX.XXX.XX to me
add 65000 allow ip from any to any

Аноним (Google Android: Mobile Safari) 19/12/16 Пнд 00:33:14 №1914805

jump

Аноним (Microsoft Windows 7: Firefox based) 20/12/16 Втр 10:49:19 №1915560

>>1909979
>Сделал, в итоге потерял доступ к компу
лол, потому что ты не разрешил хождение пакетов от себя к разрешенным хостам.

Аноним (Microsoft Windows 7: Firefox based) 20/12/16 Втр 10:52:27 №1915562

>>1909979
>65535 кстати, тоже стандартное правило в FreeBSD которое дописывается в конец
зависит от ядра

я например юзаю
options IPFIREWALL_DEFAULT_TO_ACCEPT

окукливаться как ты смысла мало, нужно лишь прикрыть сервисы, которые у тебя работают.

Аноним (Google Android: Mobile Safari) 20/12/16 Втр 22:18:00 №1915882

>>1915562
Комп раздаёт iptv наружу, нельзя чтобы все могли его тянуть.

Опции
Имя
Тема
Пост	[S] 15000

	Sage Ватермарка Мод тег ОП треда
Файлы	Макс объем: 40Mб, макс кол-во файлов: 4 Кликни/Брось файл/ctrl-v
Captcha

Перед отправкой сообщения прочтите FAQ, FAQ раздела и правила раздела. vk.com/ru2ch - оФФициальная группа VK 2channel.hk - Пасскодач 2chtv.ru - Тивач