IPFW. Не срабатывает правило с not адресом (not xxx.xxx.xxx.xxx)

17.01.2012, 15:37. **Показов** 1372. **Ответов** 2

Author24 — интернет-сервис помощи студентам

Не работает - запретить всем локальным машинам сети, кроме ...0.52 ходить в Инет (to any, any to, всяко болт)
add deny ip from not 192.168.0.52 to any

Хотя например запретить всем кроме нее ходить конкретно на aport.ru отлично работает
add deny ip from not 192.168.0.52 to 194.186.121.42

Где я не логоняю?

@shadow99 · 18.01.2012, 10:00

конфиг в студию...

20.01.2012, 12:06

конфиг, типа rc.firewall ?

Сначала ipfw откидывает всех кто попал под запрет. правила, а потом дает оставшимся нат, порты почты и пр.

Решил задачу через жп.
Так как инверсия запрета не работает почему-то, запретил всему узлу сети - пул адресов dhcp (список айпи в table 1) и удалил из таблицы тех, кому доступ нужен. Не стал заморачиваться с интерфейсами и направлениями трафика, просто обрубил, чтобы ходили через сквид.
Еще пришлось пролукапить (nslookup) почтовые сервера и разрешить ходить на них всем без исключения (table 2).

А ведь если создать таблицу с айпи разрешенных счастливчиков, это всего около 5 адресов. Но NOT Table 1 не отрабатывает, точнее закрывает доступ абсолютно всем.

!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="em0"
LanIn="em1"
IpIn="192.168.0.11"
NetMask="24"
NetIn="192.168.0.0/24"
NetOut="188.95.0.0/28"
IpOut="188.95.185.110"
#
${FwCMD} -f flush
#
${FwCMD} -f pipe flush
#
${FwCMD} -f queue flush
#загрузка таблицы ip с полным доступом
ipfw table 1 flush
cat /usr/local/etc/table/onlyproxy.txt | while read line; do
ipfw table 1 add $line
done
#загрузка таблицы ip разрешенных почтовых серверов
ipfw table 2 flush
cat /usr/local/etc/table/AlMlSv | while read line; do
ipfw table 2 add $line
done
#
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add allow all from any to any via ${LanIn}
#
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#всем кроме списка таблицы - запрет- ходите через прокси сквид. table1 - кому нельзя. table2 - куда можно (почта и пр)
${FwCMD} add deny all from "table(1)" to not "table(2)"
${FwCMD} add deny all from not "table(2)" to "table(1)"

Добавлено через 2 минуты
и далее правила продолжаются для избранных

Блоги программистов
Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного суматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(шестибитный асихронный счётчик с управляющим сигналом задержки). Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .	Руководство по созданию бота для Телеграм на Python IT_Exp 04.01.2025 Боты для Телеграм представляют собой автоматизированные программы, которые выполняют различные задачи, взаимодействуя с пользователями через интерфейс мессенджера. В данной статье мы рассмотрим,. . .	Применение компонентов PrimeVue в Vue.js 3 на TypeScript BasicMan 04.01.2025 Введение в PrimeVue и настройка окружения PrimeVue представляет собой мощную библиотеку компонентов пользовательского интерфейса для Vue. js 3, которая предоставляет разработчикам богатый набор. . .	Как стать Senior developer cpp_developer 04.01.2025 В современной индустрии разработки программного обеспечения позиция Senior Developer представляет собой не просто следующую ступень карьерной лестницы, а качественно новый уровень профессионального. . .
Что известно о дате выхода Windows 12 и чего от нее ждать IT_Exp 04.01.2025 В мире технологий постоянно происходят изменения, и операционные системы не являются исключением. Windows 11, выпущенная в октябре 2021 года, принесла множество инноваций и улучшений, но. . .	Что новенького в .NET Core 9 Programming 04.01.2025 Обзор ключевых изменений в . NET Core 9 Платформа . NET Core продолжает активно развиваться, и версия 9 представляет собой значительный шаг вперед в эволюции этой технологии. Новый релиз. . .	Инструкция по установке python3.13.1 в Debian 12 AlexSky-coder 03.01.2025 sudo apt update sudo apt install build-essential zlib1g-dev libncurses5-dev libgdbm-dev libnss3-dev libssl-dev libreadline-dev libffi-dev wget. . .	Затестил триггеры. архив проекта прилагаю с GOA файлами в настройках архиватора проектов. Hrethgir 03.01.2025 В этот раз нет закольцованности, потому что от неё только глюки, как я понял, логика не вырезанная. Триггеры очень быстрые если верить измерениям с помощью анализатора от Gowin. Есть ещё регистры,. . .	Python в помощь DevOps IT_Exp 03.01.2025 Причины использования Python в работе DevOps Python стал неотъемлемой частью мира DevOps, и это не случайно. Этот язык программирования обладает множеством преимуществ, которые делают его. . .	Angular vs React vs Vue.js BasicMan 03.01.2025 О, друзья-разработчики и просто любопытные читатели! Сегодня мы отправимся в увлекательное путешествие по миру фронтенд-разработки, и первой остановкой станет Angular – этакий строгий немецкий. . .

steler
		1
	IPFW. Не срабатывает правило с not адресом (not xxx.xxx.xxx.xxx) 17.01.2012, 15:37. Показов 1372. Ответов 2 Метки нет (Все метки) Не работает - запретить всем локальным машинам сети, кроме ...0.52 ходить в Инет (to any, any to, всяко болт) add deny ip from not 192.168.0.52 to any Хотя например запретить всем кроме нее ходить конкретно на aport.ru отлично работает add deny ip from not 192.168.0.52 to 194.186.121.42 Где я не логоняю?

@shadow99 115 / 105 / 2 Регистрация: 07.09.2011 Сообщений: 413
	18.01.2012, 10:00	2
	конфиг в студию... 0

steler
	20.01.2012, 12:06	3
	конфиг, типа rc.firewall ? Сначала ipfw откидывает всех кто попал под запрет. правила, а потом дает оставшимся нат, порты почты и пр. Решил задачу через жп. Так как инверсия запрета не работает почему-то, запретил всему узлу сети - пул адресов dhcp (список айпи в table 1) и удалил из таблицы тех, кому доступ нужен. Не стал заморачиваться с интерфейсами и направлениями трафика, просто обрубил, чтобы ходили через сквид. Еще пришлось пролукапить (nslookup) почтовые сервера и разрешить ходить на них всем без исключения (table 2). А ведь если создать таблицу с айпи разрешенных счастливчиков, это всего около 5 адресов. Но NOT Table 1 не отрабатывает, точнее закрывает доступ абсолютно всем. !/bin/sh FwCMD="/sbin/ipfw" LanOut="em0" LanIn="em1" IpIn="192.168.0.11" NetMask="24" NetIn="192.168.0.0/24" NetOut="188.95.0.0/28" IpOut="188.95.185.110" # ${FwCMD} -f flush # ${FwCMD} -f pipe flush # ${FwCMD} -f queue flush #загрузка таблицы ip с полным доступом ipfw table 1 flush cat /usr/local/etc/table/onlyproxy.txt \| while read line; do ipfw table 1 add $line done #загрузка таблицы ip разрешенных почтовых серверов ipfw table 2 flush cat /usr/local/etc/table/AlMlSv \| while read line; do ipfw table 2 add $line done # ${FwCMD} add allow ip from any to any via lo0 ${FwCMD} add allow all from any to any via ${LanIn} # ${FwCMD} add deny ip from any to 127.0.0.0/8 ${FwCMD} add deny ip from 127.0.0.0/8 to any #всем кроме списка таблицы - запрет- ходите через прокси сквид. table1 - кому нельзя. table2 - куда можно (почта и пр) ${FwCMD} add deny all from "table(1)" to not "table(2)" ${FwCMD} add deny all from not "table(2)" to "table(1)" Добавлено через 2 минуты и далее правила продолжаются для избранных