Ключевые слова:freebsd, ipfilter, firewall, (найти похожие документы)
Date: Tue, 06 Mar 2001 14:01:28 +0300
From: Alexey Zakirov <Alexey.Zakirov@f1089.n5020.z2.fidonet.org>
Newsgroups: fido7.ru.unix.bsd
Subject: Пример групп в ipfilter
VD>> Hе забывать ключевые слова in, out, via и т.п. Это сильно упрощает
VD>> набор правил.
IV> Чего-чего с ними делает? :-) У меня уже около 200 правил в 6ти файлах. И это
IV> только общие настройки. Вот мне и хочется как-то упростить (а точнее сделать
IV> вообще возможным) поддержку этого файрволла кем-то, отличным от меня. То есть
IV> тем, кто это не писал и никаких комментариев по этому поводу не видел. Так как 3
IV> интерфейса, некоторое количество сетевых сервисов (~15-~20 еще пока :) и
IV> необходимость отрезать именно потоки (т.е. такой-то адрес на такой-то адрес,
IV> вошедший по такому-то интерфейсу и вышедший по такому-то - 4 правила на один
IV> поток. Т.е. 1 recv via if1, 1 recv if1 xmit if2 и еще столько же в обратном
IV> направлении). Так что твой ответ мне непонятен :) Могу замылить правила, if
IV> you wish :-)
В ipfilter существуют т.н. "группы". В ipfw они эмулируются подобным образом:
## mux
$fw add 100 skipto 1000 ip from any to any via lo0
$fw add 100 skipto 2000 ip from any to any via fxp0
$fw add 100 skipto 3000 ip from any to any via fxp1
$fw add 200 deny ip from any to any
## lo0
$fw add 1000 .................
$fw add 1999 deny ip from any to any
## fxp0
$fw add 2000 .................
$fw add 2999 deny ip from any to any
и т.д. Причем группировать ты можешь как тебе удобно, не обязательно
по интерфейсам.
*** WBR, Alexey Zakirov (frank@agava.com)
..."Old punks don't die, they just cash in." Youth Brigade
