Новые ответы

WIPFW прошу помощи,

dorocki, 27-Сен-11, 20:20 [смотреть все]

если кому не сложно дайте коментарий каждому правилу,
исправте ошибки если таковые есть
только начал работать с wipfw
надо фильтровать 2 порта 3358 и 2106
дать доступ трём IP к порту 33333
дать доступ одному IP к порту 9905
спасибо

-f flush

add 100 pass all from any to any via lo*
add 110 deny log all from any to 127.0.0.0/8 in
add 120 deny log all from 127.0.0.0/8 to any in
add 130 allow icmp from any to any keep-state
add 200 allow all from me to any keep-state
add 201 allow all from 127.0.0.1 to any keep-state
add 310 allow tcp from 217.117.64.235 to me 33333 keep-state
add 310 allow tcp from 217.117.64.234 to me 33333 keep-state
add 310 allow tcp from 109.87.189.163 to me 33333 keep-state
add 65000 allow tcp from %ip% to me 3358 setup limit src-addr 5 in
add 2 allow tcp from any to me 2106 setup limit src-addr 5 in
add 4 allow tcp from any to any 3358 out
add 5 allow tcp from any to any 2106 out
add 350 allow tcp from 127.0.0.1 to me 9905 keep-state
add 3 allow tcp from 194.247.12.31 to me 9905 in
add 400 deny all from any to any

Ответить | Сообщить модератору

WIPFW прошу помощи, dorocki, 22:16 , 27-Сен-11 (1)
только что попробовал подключиться на порт 33333 с левого IP подключение удалось :(
я то в правилах сделал чтоб только 3 IP имели доступ к порту
что не так то сделал?
> add 400 deny all from any to any
Ответить | Сообщить модератору

WIPFW прошу помощи, c00ker, 00:59 , 28-Сен-11 (2)
ставь опцию log в правилах и смотри где пропускает
Ответить | Сообщить модератору

WIPFW прошу помощи, dorocki, 02:15 , 28-Сен-11 (3)
> ставь опцию log в правилах и смотри где пропускает
как он включается?
что-то не получается у меня
----
понял включил лог сейчас буду смотреть) растет правда за минуту по метру
Ответить | Сообщить модератору

WIPFW прошу помощи, c00ker, 02:37 , 28-Сен-11 (4)
если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via (о чем в ридми написано), и первое правило пропустит весь трафик
Ответить | Сообщить модератору

WIPFW прошу помощи, dorocki, 04:07 , 28-Сен-11 (5)
> если используется экспериментальная (0.5.5) версия, то там еще не доработана опция via
> (о чем в ридми написано), и первое правило пропустит весь трафик
есть функция limit src-addr
она определяет максимальное кол-во подключений с одного IP и просто отсекает все что выше указаного лимита.
вот пример правила: allow tcp from any to me 2106 limit src-addr 20
где 2106 порт , а limit src-addr 20 это ограничение на количество соединений к нему с одного IP.
Так вот фаер просто отсекает все что выше 20 конектов ,а те что до 20 держит, мне нужно чтобы если случилось превышение указанного порога в конфиге, то данный ИП который превысил ставился автобан по ИП. Тоесть создавал автоматически динамическое правило типа add deny tcp from ЗАБАНЕНЫЙ_ИП to me ПОРТ_ПРАВИЛА
возможно такое?
Ответить | Сообщить модератору

WIPFW прошу помощи, Pahanivo, 12:53 , 28-Сен-11 (6)
> возможно такое?
нет
Ответить | Сообщить модератору