forum.opennet.ru - "ipf Немогу поставить запрет с одного IP на другой..." (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipf Немогу поставить запрет с одного IP на другой..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipf Немогу поставить запрет с одного IP на другой..."
Сообщение от RUSLAN on 10-Июн-03, 11:27 (MSK)
Привет всем. Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1? и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ? Заранее благодарен.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipf Немогу поставить запрет с одного IP на другой..., Antonio, 11:33 , 10-Июн-03, (1)
- ipf Немогу поставить запрет с одного IP на другой..., RUSLAN, 12:33 , 10-Июн-03, (2)
  - ipf Немогу поставить запрет с одного IP на другой..., Antonio, 13:01 , 10-Июн-03, (3)
    - ipf Немогу поставить запрет с одного IP на другой..., RUSLAN, 15:18 , 10-Июн-03, (4)
      - ipf Немогу поставить запрет с одного IP на другой..., Antonio, 16:13 , 10-Июн-03, (5)
        
        ipf Немогу поставить запрет с одного IP на другой..., RUSLAN, 16:36 , 10-Июн-03, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от Antonio on 10-Июн-03, 11:33  (MSK)

>Привет всем.
>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1?
>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ?
У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится на подсети?
Если эти адреса из разных подсетей, то ($if_64 -- интерфейс, на котором висит .64 машина, $if_1 -- на котором висит .1)
block in quick on $if_64 from 10.1.0.64 to 10.1.0.1
block out quick on $if_1 from 10.1.0.64 to 10.1.0.1

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от RUSLAN on 10-Июн-03, 12:33  (MSK)

>>Привет всем.
>>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1?
>>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ?
>
>У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится
>на подсети?
Нет, просто у локальщиков 10.1.х.х
а сервак-VPN на 10.1.0.1 поэтому надо запретить
некоторым локальщикам лазить в инет.
Тоесть?:
block in quick on fxp0 from 10.1.0.64 to 10.1.0.1
block out quick on fxp1 from 172.x.x.34 to 212.x.x.130
fxp1 - это внешний интерфейс. тоесть на инет смотрит.
Так вроде?
>
>Если эти адреса из разных подсетей, то ($if_64 -- интерфейс, на котором
>висит .64 машина, $if_1 -- на котором висит .1)
>
>block in quick on $if_64 from 10.1.0.64 to 10.1.0.1
>block out quick on $if_1 from 10.1.0.64 to 10.1.0.1

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от Antonio on 10-Июн-03, 13:01  (MSK)

>>>Привет всем.
>>>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1?
>>>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ?
>>
>>У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится
>>на подсети?
>
>Нет, просто у локальщиков 10.1.х.х
>а сервак-VPN на 10.1.0.1 поэтому надо запретить
>некоторым локальщикам лазить в инет.
С VPN я пока не разбирался, так что не судите строго...
В случае же простого езернета задача запрета инета, но оставления локалки товарищу с .64 решается по идее так (не знаю, есть ли в IPF такая фича PF, как отрицание диапазона адресов):
block in quick on fxp0 from 10.1.0.64 to { !10.1.0.0/12 }
То бишь, "все пакеты от злодея к НЕ сети 10.1.0.0.12 выбрасывать".
Но все равно останется проблема следующая: злыдень поднимает на одной из машин сети левый проксик и качает дальше.
>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130
Это правило не понял. Мы про 10.1.0.0 сеть говорим?
P.S. Если я правильно понял принцип работы пакетного фильтра, то он может воздействовать ТОЛЬКО на те пакеты, которые входят в один интерфейс, а выходят через другой, т.е. проходят _через_ машину с фильтром.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от RUSLAN on 10-Июн-03, 15:18  (MSK)

>>>>Привет всем.
>>>>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1?
>>>>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ?
>>>
>>>У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится
>>>на подсети?
>>
>>Нет, просто у локальщиков 10.1.х.х
>>а сервак-VPN на 10.1.0.1 поэтому надо запретить
>>некоторым локальщикам лазить в инет.
>
>С VPN я пока не разбирался, так что не судите строго...
>
>В случае же простого езернета задача запрета инета, но оставления локалки товарищу
>с .64 решается по идее так (не знаю, есть ли в
>IPF такая фича PF, как отрицание диапазона адресов):
>
>block in quick on fxp0 from 10.1.0.64 to { !10.1.0.0/12 }
>
>То бишь, "все пакеты от злодея к НЕ сети 10.1.0.0.12 выбрасывать".
>
>Но все равно останется проблема следующая: злыдень поднимает на одной из машин
>сети левый проксик и качает дальше.
>
>>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130
>
>Это правило не понял. Мы про 10.1.0.0 сеть говорим?
>
Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть
ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130

>P.S. Если я правильно понял принцип работы пакетного фильтра, то он может
>воздействовать ТОЛЬКО на те пакеты, которые входят в один интерфейс, а
>выходят через другой, т.е. проходят _через_ машину с фильтром.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от Antonio on 10-Июн-03, 16:13  (MSK)

>>>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130
>>
>>Это правило не понял. Мы про 10.1.0.0 сеть говорим?
>>
>
>Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть
>ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130
То есть оно не имеет отношения к рассматриваемому вопросу. Собственно это я и хотел спросить.
212.х.х.130 -- ваш внешний IP? Тогда почему правило out, а не in? Было бы in, да с набором "серых" сетей, это была бы хоть похоже на защиту от спуфинга, а так я просто не понимаю его смысла.
Так, как вы написали, вы запрещаете ВЫХОДИТЬ во внешний мир _изнутри_ машины пакетам от хоста 172.x.x.34, предназначенным для хоста 212.x.x.130. Так ведь на внешнем интерфейсе "out-пакеты" уже идут только с 212.x.x.130. Хотя, если это непосредственно не относится к делу, то можно и забить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipf Немогу поставить запрет с одного IP на другой..."

Сообщение от RUSLAN on 10-Июн-03, 16:36  (MSK)

>>>>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130
>>>
>>>Это правило не понял. Мы про 10.1.0.0 сеть говорим?
>>>
>>
>>Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть
>>ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130
>
>То есть оно не имеет отношения к рассматриваемому вопросу. Собственно это я
>и хотел спросить.
>
>212.х.х.130 -- ваш внешний IP?
да, он через этот ИП ходит в инет. Надо запрещать ему out и навсякий
случай in и всё.

Тогда почему правило out, а не in?
>Было бы in, да с набором "серых" сетей, это была бы
>хоть похоже на защиту от спуфинга, а так я просто не
>понимаю его смысла.
>Так, как вы написали, вы запрещаете ВЫХОДИТЬ во внешний мир _изнутри_ машины
>пакетам от хоста 172.x.x.34, предназначенным для хоста 212.x.x.130. Так ведь на
>внешнем интерфейсе "out-пакеты" уже идут только с 212.x.x.130. Хотя, если это
>непосредственно не относится к делу, то можно и забить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipf Немогу поставить запрет с одного IP на другой..."
Сообщение от Antonio on 10-Июн-03, 11:33 (MSK)
>Привет всем. >Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1? >и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ? У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится на подсети? Если эти адреса из разных подсетей, то ($if_64 -- интерфейс, на котором висит .64 машина, $if_1 -- на котором висит .1) block in quick on $if_64 from 10.1.0.64 to 10.1.0.1 block out quick on $if_1 from 10.1.0.64 to 10.1.0.1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipf Немогу поставить запрет с одного IP на другой..."
	Сообщение от RUSLAN on 10-Июн-03, 12:33 (MSK)
	>>Привет всем. >>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1? >>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ? > >У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится >на подсети? Нет, просто у локальщиков 10.1.х.х а сервак-VPN на 10.1.0.1 поэтому надо запретить некоторым локальщикам лазить в инет. Тоесть?: block in quick on fxp0 from 10.1.0.64 to 10.1.0.1 block out quick on fxp1 from 172.x.x.34 to 212.x.x.130 fxp1 - это внешний интерфейс. тоесть на инет смотрит. Так вроде? > >Если эти адреса из разных подсетей, то ($if_64 -- интерфейс, на котором >висит .64 машина, $if_1 -- на котором висит .1) > >block in quick on $if_64 from 10.1.0.64 to 10.1.0.1 >block out quick on $if_1 from 10.1.0.64 to 10.1.0.1
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipf Немогу поставить запрет с одного IP на другой..."
	Сообщение от Antonio on 10-Июн-03, 13:01 (MSK)
	>>>Привет всем. >>>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1? >>>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ? >> >>У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится >>на подсети? > >Нет, просто у локальщиков 10.1.х.х >а сервак-VPN на 10.1.0.1 поэтому надо запретить >некоторым локальщикам лазить в инет. С VPN я пока не разбирался, так что не судите строго... В случае же простого езернета задача запрета инета, но оставления локалки товарищу с .64 решается по идее так (не знаю, есть ли в IPF такая фича PF, как отрицание диапазона адресов): block in quick on fxp0 from 10.1.0.64 to { !10.1.0.0/12 } То бишь, "все пакеты от злодея к НЕ сети 10.1.0.0.12 выбрасывать". Но все равно останется проблема следующая: злыдень поднимает на одной из машин сети левый проксик и качает дальше. >block out quick on fxp1 from 172.x.x.34 to 212.x.x.130 Это правило не понял. Мы про 10.1.0.0 сеть говорим? P.S. Если я правильно понял принцип работы пакетного фильтра, то он может воздействовать ТОЛЬКО на те пакеты, которые входят в один интерфейс, а выходят через другой, т.е. проходят _через_ машину с фильтром.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipf Немогу поставить запрет с одного IP на другой..."
	Сообщение от RUSLAN on 10-Июн-03, 15:18 (MSK)
	>>>>Привет всем. >>>>Как запретить с помощью ipf доступ 10.1.0.64 на 10.1.0.1? >>>>и что-бы никакой траффик непрошёл на IP 10.1.0.1 от 10.1.0.64 ? >>> >>>У вас что, два интерфейса в одну сеть смотрят? Или все-таки делится >>>на подсети? >> >>Нет, просто у локальщиков 10.1.х.х >>а сервак-VPN на 10.1.0.1 поэтому надо запретить >>некоторым локальщикам лазить в инет. > >С VPN я пока не разбирался, так что не судите строго... > >В случае же простого езернета задача запрета инета, но оставления локалки товарищу >с .64 решается по идее так (не знаю, есть ли в >IPF такая фича PF, как отрицание диапазона адресов): > >block in quick on fxp0 from 10.1.0.64 to { !10.1.0.0/12 } > >То бишь, "все пакеты от злодея к НЕ сети 10.1.0.0.12 выбрасывать". > >Но все равно останется проблема следующая: злыдень поднимает на одной из машин >сети левый проксик и качает дальше. > >>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130 > >Это правило не понял. Мы про 10.1.0.0 сеть говорим? > Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130 >P.S. Если я правильно понял принцип работы пакетного фильтра, то он может >воздействовать ТОЛЬКО на те пакеты, которые входят в один интерфейс, а >выходят через другой, т.е. проходят _через_ машину с фильтром.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipf Немогу поставить запрет с одного IP на другой..."
	Сообщение от Antonio on 10-Июн-03, 16:13 (MSK)
	>>>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130 >> >>Это правило не понял. Мы про 10.1.0.0 сеть говорим? >> > >Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть >ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130 То есть оно не имеет отношения к рассматриваемому вопросу. Собственно это я и хотел спросить. 212.х.х.130 -- ваш внешний IP? Тогда почему правило out, а не in? Было бы in, да с набором "серых" сетей, это была бы хоть похоже на защиту от спуфинга, а так я просто не понимаю его смысла. Так, как вы написали, вы запрещаете ВЫХОДИТЬ во внешний мир _изнутри_ машины пакетам от хоста 172.x.x.34, предназначенным для хоста 212.x.x.130. Так ведь на внешнем интерфейсе "out-пакеты" уже идут только с 212.x.x.130. Хотя, если это непосредственно не относится к делу, то можно и забить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipf Немогу поставить запрет с одного IP на другой..."
	Сообщение от RUSLAN on 10-Июн-03, 16:36 (MSK)
	>>>>block out quick on fxp1 from 172.x.x.34 to 212.x.x.130 >>> >>>Это правило не понял. Мы про 10.1.0.0 сеть говорим? >>> >> >>Эта правило для внешнего мира, 212.x.x.130 - внешний IP. Тоесть >>ставим запрет через fxp1 для 172.x.x.34 на 212.x.x.130 > >То есть оно не имеет отношения к рассматриваемому вопросу. Собственно это я >и хотел спросить. > >212.х.х.130 -- ваш внешний IP? да, он через этот ИП ходит в инет. Надо запрещать ему out и навсякий случай in и всё. Тогда почему правило out, а не in? >Было бы in, да с набором "серых" сетей, это была бы >хоть похоже на защиту от спуфинга, а так я просто не >понимаю его смысла. >Так, как вы написали, вы запрещаете ВЫХОДИТЬ во внешний мир _изнутри_ машины >пакетам от хоста 172.x.x.34, предназначенным для хоста 212.x.x.130. Так ведь на >внешнем интерфейсе "out-пакеты" уже идут только с 212.x.x.130. Хотя, если это >непосредственно не относится к делу, то можно и забить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх