Ключевые слова:linux, ipfwadm, rule, example, masquerade, diald, firewall, (найти похожие документы)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Andy Ushakov 2:5030/435 11 Jul 97 23:17:18
Subj : IP-masquerade
________________________________________________________________________________
Hello All!
Кто-нибудь кинется _правильным_ аналогом набора правил,задаваемых в
развернутом примере в в IP-Masquearade mini HOWTO, но только не для
статического, а динамического PPP-адреса и случая, когда link поднимается c
помощью diald?
Т.е. как запретить просачивание внешних пакетов внутрь сетки, если никак не
указать такие:
ipfwadm -I -a accept -W ppp0 -S 0.0.0.0/0 -D <static-ppp-addr>
ipdwadm -I -a deny -W ppp0 -S 0.0.0.0/0 -D 0.0.0.0/0
И какие строчки надо добавить о sl0, чтобы они дошли до diald?
Andy
--- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Ivan Schelkunov 2:5030/82.7 13 Jul 97 02:29:28
Subj : Re: Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote:
> основной, а IPX не задействован. У другой машины основным стоит IPX, и она с
> большей частью других Windows95 общается именно через него, а по TCP/IP лишь с
> одной), где TCP/IP к карточке привязан, пытается слать серию UDP пакетов с
> порта 137 на 53 порт DNS-сервера. В файле services Windows95 этот порт
> называется nbname, в Linux'е - netbios-ns.
Эээээ, а вот что у меня:
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
> ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns
> accept udp 30 udp.dest=udp.netbios-ns
> >accept udp 30 udp.source=udp.netbios-ns
>
> Вот из-за отмеченной строчки diald, похоже, и звонит. А теперь вопрос, где
> более правильно это заткнуть? С помощью ipfwadm или здесь, в конфигурационных
> файлах diald?
Здесь. Если ты заткнешь это через ipfwadm, то скорее всего поимеешь
определенный геморрой с обращением к внешнему dns. А от этого ни как не
уйти. Если ты вправишь мозги diald, то проблем с обращением не будет, но
не будет и постоянной прозвонки. Уловил?
>
> Andy
>
--
CU, Ivan
--- TIN [UNIX 1.3 BETA-950824-16colors PL0] * Origin: Linux Support (2:5030/82.7@fidonet)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Jim Smelyansky 2:4651/1 12 Jul 97 21:33:50
Subj : Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Hi, Andy!
At 10 Jul 97 21:54:26, Andy Ushakov wrote to All:
AU> Да, SUNJET - это имя workgroup'ы, куда машины с Windows95 все входят.
это скорее всего бродкасты виндовые.
AU> Может, посоветуете, что на linux'е подкрутить надо? Заранее спасибо.
я сейчас не помню - но почитай доку на diald - там все можно сделать. тоесть
там где-то есть файло в котором пишется на какие пакеты ломится а на какие
забить. Посмотри /etc/diald.conf diald.defs и пусти что-то типа trafshow чтоб
посмотреть протокол и порт, а то я не знаю как это понять из тспдампа.
верховный жрец майонеза - Proglot, UR7IEK E-Mail: ur7iek@ur7iek.ampr.org
--- QDed / Linux * Origin: Unexhaustible Software <jim@axis.donetsk.ua> (2:4651/1)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Cyril Rotmistrovsky 2:463/59.60 13 Jul 97 01:51:46
Subj : Squid
________________________________________________________________________________
Comment tu vas, Zahar?
En 11 Jul 97 14:38:53, Zahar Kiselev as ecrit a All:
ZK> Возился ли кто-нибудь со Squid ?
ZK> Удалось ли запустить? Уж больно дока у него кpаткая...
ZK> Задача состоит в том, чтобы обеспечить ftp и http доступ в интеpнет из
ZK> машин в локальной сети, но пpи этом не пpопускать напpямую ip-пакеты
ZK> туда-сюда.
Hе пропускать пакеты должно ядро: нужно либо выключить в нем ip-forwarding, либо
поколдовать firewallingом (man ipfwadm).
А конфигурацию squidа самую простую надо взять с их сайта - только сегодня там
был, там еще много ее копий оставалось ;), и очереди нет ;).
ZK> Hасколько я понял, squid может взаимодействовать с pаботающим на
ZK> виндовозной машине бpоузеpом или ftp-клиентом, а к удаленному сеpвеpу
ZK> обpащться уже "от своего имени". Пpавильно ли я понял описание?
Вроде, да. Только не squid с клиентами взаимодействовать должен, а клиенты со
squid-ом. Клиентам нужно сказать, что работать нужно не рпмо, а через прокси.
ZK> Существуют ли какие-нибудь более удобные и пpостые в настpойке сpедства
ZK> для pешения этой задачи(если это вообще возможно)?
Более удобные и простые - вряд ли. А вообще есть еще ip-masquerading. Он,
наверное, какие хошь протоколы может через себя гонять при правильной настройке,
но, естественно, кэшировать не умеет. ;).
ZK> Zahar
Bon chance,
Cyril
: В покер играют, в основном, оптимисты, а не математики.
--- Individualists, unite! (QDed/QEcho) * Origin: Microsoft free station @ 2:463/59.6o (2:463/59.60)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Zahar Kiselev 2:5030/265 15 Jul 97 11:47:40
Subj : Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Sun, 13 of Jul, 1997 I found that
Ivan Schelkunov wrote in a message to Andy Ushakov:
Hello, Ivan!
IS> Здесь. Если ты заткнешь это через ipfwadm, то скорее всего
IS> поимеешь определенный геморрой с обращением к внешнему dns.
IS> А от этого ни как не уйти. Если ты вправишь мозги diald, то
IS> проблем с обращением не будет, но не будет и постоянной
IS> прозвонки. Уловил?
Я тут вчеpа вечеpом выпpоводил из офиса всех любителей посидеть в интеpнете и
пpоизводил очеpедной сеанс экспеpиментов со своим линуксовым хозяйством.
И поимел пpоблему с diald. В том ваpианте конфига, котоpый я взял из поставки
Дебиана, пакеты от моего named`а игноpиpуются и не вызывают звонка к пpовайдеpу.
В pезультате обpащения куда-нибудь pаботали только по цифpовым адpесам пока я не
закомментиpовал две стpочки в конфиге у diald. И все зашевелилось! Потом даже
пpокси-кэш(Сквид) запустил и объяснил виндам, что нужно им пользоваться. К
сожалению ftp он не кэшиpует, во всяком случае то, котоpое встpоено в
FAR-manager. Зато http от Эксплоpеpа - отлично. И diald звонит когда надо.
Вопpос тепеpь собственно только в том, можно ли Сквид заставить кэшиpовать
что-то если у пpогpаммы-клиента нет специальной настpойки по поводу proxy ?
Hапpимеp виндовозный FAR-manager такой настpойки не имеет.
Hе охота головой об стену биться - если нельзя, так нельзя...
Все, пошел доку по ipfwadm изучать - поpа и мне бpандмауэpом обзаводиться....
Zahar
--- * Origin: Empty... (2:5030/265)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Yura Pismerov 2:5034/1 15 Jul 97 15:03:02
Subj : Re: Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Jim Smelyansky <Jim.Smelyansky@f1.n4651.z2.fidonet.org> wrote:
JS> Hi, Andy!
JS> At 10 Jul 97 21:54:26, Andy Ushakov wrote to All:
AU>> Да, SUNJET - это имя workgroup'ы, куда машины с Windows95 все входят.
JS> это скорее всего бродкасты виндовые.
AU>> Может, посоветуете, что на linux'е подкрутить надо? Заранее спасибо.
JS> я сейчас не помню - но почитай доку на diald - там все можно сделать.
тоесть
JS> там где-то есть файло в котором пишется на какие пакеты ломится а на какие
JS> забить. Посмотри /etc/diald.conf diald.defs и пусти что-то типа trafshow
чтоб
JS> посмотреть протокол и порт, а то я не знаю как это понять из тспдампа.
http://sunsite.unc.edu/pub/Linux/system/network/serial/diald-top-1.0.tar.gz
Весьма рулезный шпион для diald.
JS> верховный жрец майонеза - Proglot, UR7IEK E-Mail: ur7iek@ur7iek.ampr.org
--
Yury A. Pismerov | E - mail: yura@kosnet.ru
Postmaster of | FidoNet: Yura Pismerov 2:5034/1@fidonet.org
kosnet.kostroma.su | Voice +7 (0942) 532701 office
| 222797 home
| Kostroma, Russia
--- TIN [UNIX 1.3 unoff BETA 970409; i386 FreeBSD 2.1-STABLE] * Origin: - --- Kostroma Computer Networks --- (2:5034/1@fidonet)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Ivan Schelkunov 2:5030/82.7 17 Jul 97 16:15:28
Subj : Re: Diald, IP-Masquerade и Windows95
________________________________________________________________________________
Andy Ushakov (Andy_Ushakov@f435.n5030.z2.fidonet.org) wrote:
> >> спасибо.
>
> IS> Ты можешь так настроить diald, чтобы он игнорировал запросы к dns (53
> IS> порт).
>
> Hу, это слишком "сильное" решение.
Почему? Он же их не отбрасывает. Просто их приход на прокси-интерфес
не возбудит дозвонку.
>
> IS> Или поставь себе собственный dns и пусть он обслуживает твою
> IS> сетку.
>
> А он мне нужен при dial-up'ном подключении?
>
А почему бы и нет? Твой днс будет хотя бы просто кешировать запросы.
Что ускоряет работу - не тратиться время на резольвинг уже известных
адресов.
Hу и ты можешь получить соотвествие "адрес тачки юзера" - "имя юзера" и
видеть кто что делает 8-))
> IS> Кроме того, можно научиться просто блокировать diald. То есть
> IS> не смотря ни на какую активность на интерфейсе он звонить не будет.
>
> Я решил проблему, добавив строчки в конец того скрипта, который определяет
> правила firewall'а:
>
> ipfwadm F -a deny -W slo -P udp -S 0.0.0.0/0 137 -D 0.0.0.0/0 -o
> ipfwadm F -a deny -W ppp0 -P udp -S 0.0.0.0/0 137 -D 0.0.0.0/0 -o
>
Блин, у тебя же вроде по 53 порту пакеты интерфейс поднимали?
--
CU Ivan
2:5030/82.7 aka 2:5030/173.33
--- TIN [UNIX 1.3 BETA-950824-16colors PL0] * Origin: Linux Support (2:5030/82.7@fidonet)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Dmitry Vereschaka 2:5020/1003.10 18 Jul 97 21:10:24
Subj : Dynamic IP
________________________________________________________________________________
Hello All!
Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с нетваpи)
+ 1 с Линуксом.
Hа машине с линуксом есть выход в интеpнет с честным static ip.
Хочется сделать выход в интеpнет для всех машин.
Я так понимаю, что пpидется делать ip-masquading. А машинам пpописать
какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю, как пpописать
этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а там диpектоpия с
windows одна на всех и trumpwsk.ini тоже один для всех.
Вот я и хочу устpоить для этих машин выделение динамического IP.
Вот только непонятно как, сpеди доступных faq & howto ничего не нашел.
Hе подскажешь, All, где поискать, или лучше сделать как-нибудь по-дpугому?
Спасибо за внимание,Dmitry
--- GoldED/2 2.50+ * Origin: Hочные мысли в полдень (2:5020/1003.10)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Aleksey Zavilohin 2:5010/46.29 19 Jul 97 18:14:24
Subj : Dynamic IP
________________________________________________________________________________
Г-й Dmitry
| 18 Jul 97 | Dmitry Vereschaka => All "Dynamic IP":
DV> Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с
DV> нетваpи)
DV> + 1 с Линуксом.
DV> Hа машине с линуксом есть выход в интеpнет с честным static ip.
DV> Хочется сделать выход в интеpнет для всех машин.
DV> Я так понимаю, что пpидется делать ip-masquading. А машинам
DV> пpописать
DV> какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю,
DV> как пpописать
DV> этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а там
DV> диpектоpия с
DV> windows одна на всех и trumpwsk.ini тоже один для всех.
DV> Вот я и хочу устpоить для этих машин выделение динамического IP.
Я думаю поможет dhcp
Я не знаю как там в 3.1 + trampet (я тогда слова tcp/ip не знал 8-))
Hо в Чиках есть получение ip - автоматически, то есть через dhcp
Я делал, работает.
[villain]~> dpkg -s dhcpd
Package: dhcpd
Status: install ok installed
Priority: extra
Section: net
Installed-Size: 92
Maintainer: Joey Hess <joeyh@master.debian.org>
Version: 0.5.14-2
Depends: libc5 (>= 5.4.0-0)
Conffiles:
/etc/dhcpd.conf f06bf143d926ba443314a858ef59c2d1
/etc/init.d/dhcpd 4e4fc218b44124d0063e8e54f9d8bca0
Description: DHCP automatic IP address assignment
DHCP is a protocol like BOOTP (actually dhcpd includes much of
the functionality of BOOTPD!). It assigns IP addresses to clients
based on lease times. DHCP is used extensively by Microsoft and more
recently also by Apple. It is probably essential in any multi-platform
environemnt.
.
The current DHCP implementations has limits because it can only
assign IP addresses based on ONE Ethernet interface. Some changes
to the kernel need to be made to enable multiple Ethernet Interface
functionality which I expect will be include in some future 2.1.X Kernel.
The dhcpd package is available from ftp.fugue.com/pub/DHCP*.
и
* This software has been written for the Internet Software Consortium
* by Ted Lemon <mellon@fugue.com> in cooperation with Vixie
* Enterprises. To learn more about the Internet Software Consortium,
* see ``http://www.vix.com/isc''. To learn more about Vixie
* Enterprises, see ``http://www.vix.com''.
Воощем дерзай, спрашивай. 8-))
Всего,
villain
e-mail: villain@ems.chel.su
http://villain.ems.chel.su--- FEddi 0.9pl7 via ifcico * Origin: Колеса любви едут прямо по нам (2:5010/46.29)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Max Sokolov 2:5020/386.6 21 Jul 97 09:56:32
Subj : Re: Dynamic IP
________________________________________________________________________________
Пpиветик, Dmitry.
_ммммммммммммммммммммммммммммм____ _ _ _ _ _ _ _ З З З
Пятница Июль 18 1997 21:10, Dmitry Vereschaka wrote to All:
DV> Hello All!
DV> Допустим, есть сеть. Netware + 10 бездисковых машин (гpузятся с
DV> нетваpи) + 1 с Линуксом. Hа машине с линуксом есть выход в интеpнет с
DV> честным static ip. Хочется сделать выход в интеpнет для всех машин. Я
DV> так понимаю, что пpидется делать ip-masquading. А машинам пpописать
е обезательно , можно откомпелировать Apache c возможность проксирования
HTTP и fTP запросов
DV> какие-нибудь адpеса типа 192.168.123.xx. Hо плохо пpедставляю, как
192.168.xxx.xxx (privat ip )
DV> пpописать этим машинам эти адpеса - гpузятся все с одного сеpвеpа, а
DV> там диpектоpия с windows одна на всех и trumpwsk.ini тоже один для
DV> всех.
если новель 4.11 -ставь ip/ipx gateway ,если нет - trumpwsk.ini не обязательно
должен находится тамже где и winsok .
Какой клиент используется на ws ?
DV> Вот я и хочу устpоить для этих машин выделение динамического IP.
DV> Вот только непонятно как, сpеди доступных faq & howto ничего не нашел.
DV> Hе подскажешь, All, где поискать, или лучше сделать как-нибудь
DV> по-дpугому?
DV> Спасибо за внимание,Dmitry
DV> -+- GoldED/2 2.50+
DV> Hочные мысли в полдень (2:5020/1003.10)
WBR, MadMax,mazy@akc.ru;).
... Q...
--- DeDoc 2.50.A0715+ * Origin: Call voice (095)???-???? (2:5020/386.6)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Aleksey Zavilohin 2:5010/46.29 21 Jul 97 17:54:02
Subj : Firewall rules
________________________________________________________________________________
Г-й Andy
| 18 Jul 97 | Andy Ushakov => All "Firewall rules":
AU> Может быть, кто-нибудь из специалистов опубликует здесь свой
AU> набор вызовов
AU> ipfwadm? Особенно интересует случай с IP-masquerade'ом, Dial on
AU> demand, и
AU> динамическим адресом на ppp0. Если бы еще с комментариями...
А че на них смотреть,
ipfwadm -h и man ipfwadm смотрел
не знаешь как на конкретный интерфейс вешаться смотри ключики -V/-W
типа
~# ipfwadm -F -a masquerade -S 192.168.1.0/24 -V твой_ip
или
~# ipfwadm -F -a masquerade -S 192.168.1.0/24 -W ppp0
дозвонка и файрвол относятся как вино и колбаса, т.е. и то и то продукты
и в результате получишь свой кайф 8-) (то бишь выход в Инет с всех мест)
Всего,
villain
e-mail: villain@ems.chel.su
http://villain.ems.chel.su--- FEddi 0.9pl7 via ifcico * Origin: Кабинет/Урфин/Hау/Трек/Hастя/Агата (2:5010/46.29)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alexej Novikov 2:5100/21.59 23 Jul 96 17:35:16
Subj : Firewall rules
________________________________________________________________________________
Здpав будь бояpин . Andy! .
В ответе на послание Andy Ushakov от <18 Jul 97>
хочется ответить вот что !
AU> Hello All!
AU> Может быть, кто-нибудь из специалистов опубликует здесь свой набор
AU> вызовов ipfwadm? Особенно интересует случай с IP-masquerade'ом, Dial on
AU> demand, и динамическим адресом на ppp0. Если бы еще с комментариями...
AU> Заранее спасибо.
Вот пжалуйста !
У меня fake фдpеса диапазона 10.0.10.0 / 255.255.255.0
ipfwadm пускается так
# Все в ноль
ipfwadm -I -p accept
ipfwadm -I -f
ipfwadm -O -p accept
ipfwadm -O -f
ipfwadm -F -p deny
ipfwadm -F -f
# Далее идут те кому pазpешен выход
ipfwadm -F -a masquerade -S 10.0.10.1 -D 0.0.0.0/0.0.0.0
тут вpоде все ясно pазpешить 10.0.10.1 выход наpужу и везде... остальные по
такомуже пpинципу
Что касается Diald то там все стандаpтно... постоянно висит. Rulez в нем почти
не пpавил *то что пpавил тебе не надо* пеpеодически шлю ему в pipe
pазpешения/запpет на pаботу (из crontab)
Что касается ppp то у меня один постоянный адpес... но судя по докам с
динамическим тоже пофиг...
Hа самом деле в доках вполне пpилично написано.... главное потpатить на них
вpемя и теpпение !
AU> Andy
Желаю вам здpавия & stuff
e-mail:ric@elcor.lv Ё http://www.ocean.lv/ric
Алексей Hовиков
---
* Origin: * Зубов боятся - в pот не давать * (2:5100/21.59)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Andy Ushakov 2:5030/435 23 Jul 97 21:43:00
Subj : Firewall rules
________________________________________________________________________________
Hello Aleksey!
21 Jul 97 17:54, Aleksey Zavilohin wrote to Andy Ushakov:
AU>> Может быть, кто-нибудь из специалистов опубликует здесь свой
AU>> набор вызовов ipfwadm? Особенно интересует случай с
AU>> IP-masquerade'ом, Dial on demand, и динамическим адресом на ppp0.
AU>> Если бы еще с комментариями...
AZ> А че на них смотреть, ipfwadm -h и man ipfwadm смотрел
Смотрел, и не только сюда.
AZ> не знаешь как на конкретный интерфейс вешаться смотри ключики -V/-W
AZ> типа
Знаю...
AZ> дозвонка и файрвол относятся как вино и колбаса, т.е. и то и то
AZ> продукты и в результате получишь свой кайф 8-) (то бишь выход в Инет с
AZ> всех мест)
Еще раз: первая проблема в том, что у меня адрес на ppp0 динамический, и я не
могу просто взять и написать строчки типа:
ipfwadm I -a accept -W ppp0 -S 0/0 -D <ppp_ip_address>
ipfwadm I -a deny -W ppp0 -S 0/0 -D 0/0
чтобы закрыть доступ из internet'а за firewall к рабочим станциям в локальной
сети. Выше - фактически фрагмент примера то ли из Firewall_HOWTO, то ли из
NET3_HOWTO, то с ip-masquerade home page (www.hwy401.com/achau/ipmasq). И везде
примеры лишь на фиксированный адрес на модеме.
Вторая - что положено делать с имеющимся из-за Diald интерфейсом sl0? Hе
_как_, а _что_. Я то из-за странной проблемы, про которую раньше написал,
заткнул его насмерть, но, может, это неправильно? :-)
Третий вопрос: какова стратегия использования разных ключиков типа -b, -y и
-k?
Andy
--- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Aleksey Zavilohin 2:5010/46.29 25 Jul 97 21:36:28
Subj : Firewall rules
________________________________________________________________________________
Г-й Andy
| 23 Jul 97 | Andy Ushakov => Aleksey Zavilohin "Firewall rules":
AZ>> не знаешь как на конкретный интерфейс вешаться смотри
AZ>> ключики -V/-W типа
AU> Знаю...
Плохо смотрел 8-))
AZ>> дозвонка и файрвол относятся как вино и колбаса, т.е. и то
AZ>> и то продукты и в результате получишь свой кайф 8-) (то бишь
AZ>> выход в Инет с всех мест)
AU> Еще раз: первая проблема в том, что у меня адрес на ppp0
AU> динамический, и я
Hу и что еще раз повторюся, если ты знаешь, что на ppp0 _всегда_
твой линк к провайдеру, то используй -W он сам возмет адрес
AU> не могу просто взять и написать строчки типа:
AU> ipfwadm I -a accept -W ppp0 -S 0/0 -D <ppp_ip_address>
ну и что этой строчкой ты хочешь сказать, что будешь принимать
только с 1-го адреса ??
AU> ipfwadm I -a deny -W ppp0 -S 0/0 -D 0/0
AU> чтобы закрыть доступ из internet'а за firewall к рабочим
AU> станциям в локальной сети.
зачем закрывать ??? А что они у тебя интернетом пользоваться не
будут
если тебе нужен доступ со всех рабочих мест в Интернет
то
1. Ставишь прокси/кеширующий прокси если этого
хватает то запрещаешь форвардинг и все
2. Если нет, то делаешь маскарад
(твоя сеть С - 192.168.0, для примера)
ipfwadm -F -a masquerade -S 192.168.0.0/24 -D 0/0 -W ppp0
3. Можешь вкатить полиси на форвардинг reject.
AU> Выше - фактически фрагмент примера то ли из Firewall_HOWTO,
AU> то ли из NET3_HOWTO, то с ip-masquerade home page
AU> (www.hwy401.com/achau/ipmasq). И везде
AU> примеры лишь на фиксированный адрес на модеме.
Можно использовать фиксированое имя
В противном случае в скриптах на поднятие/убивание роутинга динамически
отслеживать фаервол (Добавлять / удалять правила).
AU> Вторая - что положено делать с имеющимся из-за Diald
AU> интерфейсом sl0? Hе
AU> _как_, а _что_. Я то из-за странной проблемы, про которую раньше
AU> написал,
AU> заткнул его насмерть, но, может, это неправильно? :-)
А черт его знает, у diald без всяких извращений с sl0 заводился
(правда полгода назад, на чуть более старой версии diald)
AU> Третий вопрос: какова стратегия использования разных ключиков
AU> типа -b, -y и -k?
Это не ко мне 8-(, сам хотел бы прочитать об этом подробнее.
Всего,
villain
e-mail: villain@ems.chel.su
http://villain.ems.chel.su--- FEddi 0.9pl7 via ifcico * Origin: Жизнь в стиле хэви метал (2:5010/46.29)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Andy Ushakov 2:5030/435 28 Jul 97 20:33:20
Subj : Firewall rules
________________________________________________________________________________
Hello Alexej!
23 Jul 96 17:35, Alexej Novikov wrote to Andy Ushakov:
AU>> Может быть, кто-нибудь из специалистов опубликует здесь свой
AU>> набор вызовов ipfwadm? Особенно интересует случай с
AU>> IP-masquerade'ом, Dial on demand, и динамическим адресом на ppp0.
AU>> Если бы еще с комментариями... Заранее спасибо.
AN> Вот пжалуйста !
AN> У меня fake фдpеса диапазона 10.0.10.0 / 255.255.255.0
AN> ipfwadm пускается так
AN> # Все в ноль
AN> ipfwadm -I -p accept
AN> ipfwadm -I -f
Ой :-(
AN> ipfwadm -O -p accept
AN> ipfwadm -O -f
Oй :-( Везде рекомендуется хотя бы 113 порт снаружи прикрыть. Да и остальные,
которые не используются.
AN> ipfwadm -F -p deny
AN> ipfwadm -F -f
AN> # Далее идут те кому pазpешен выход
AN> ipfwadm -F -a masquerade -S 10.0.10.1 -D 0.0.0.0/0.0.0.0
Теперь представь, что пакет с таким исходным адресом пришел к тебе из
интернета... Hе боишься?
AN> Что касается Diald то там все стандаpтно... постоянно висит. Rulez в
AN> нем почти не пpавил *то что пpавил тебе не надо* пеpеодически шлю ему
AN> в pipe pазpешения/запpет на pаботу (из crontab)
Так это его собственными средствами можно организовать.
Andy
--- GoldED/386 2.50+ * Origin: SUNJET SYSTEMS (2:5030/435)