Psy Posted June 6, 2003 Posted June 6, 2003 Ответте, пожалуйста, вот на такой вопрос - какова очередность исполнения правли в firewall фри, то что они грузятся согласно их расстановки в файле это видно при рестарте rc.firewall, а вот как по ним идет пакет - согласно номера правила или тоже подрят, как они записаны? Просто у меня подсетки должэны открываются только после того как пакет прошел по всем правила безопасности. То есть, если я правильно понимаю, после них всех остаются (условно) самые безопасные пакеты ( то есть - не деятельность условного хакера). И вот в самом конце под номерами свыше тысячи расположены правила: ipfw add 1000 allow all from any to 192.168.1.1/24 via rl0 ipfw add 1000 allow all from 192.168.1.1/24 to any via rl0 Потом, так как я решил фаэрволом ограничивать доступ в нет, я перенс правила пользователей на верх rc.firewall, выше остальных правил, но оставил им свои номера (>1000). Так вот, через какое правила будет в первую очередь проходить пакет - через правило пользователя или через правило безопасности, у которого меньше номер. 2Вопрос, читал, что можно вынести правила rc.firewall в отдельный файл. В моем случае это могли бы быть как настройки безопасности, так и праили пользователей. Если это возможно - как бы это реализовать. Пожалуйста расскажите подробней. Заранее благодарен. Вставить ник Quote
YuryD Posted June 6, 2003 Posted June 6, 2003 Правила выполняются подряд согласно их номерам (номер сам присваиваешь при создании) ipfw add NNNomer Очередность может быть нарушена инструкциями типа skipto ... все в man есть... Вставить ник Quote
Psy Posted June 6, 2003 Author Posted June 6, 2003 Спасибо за ответ! То есть, если усли правила будут располагаться так: ipfw add 200 .... ipfw add 100 ... ipfw add 50... то выполняться они будут начиная с последнего, так? а что касается второго вопроса - не в курсе? Вставить ник Quote
YuryD Posted June 6, 2003 Posted June 6, 2003 Не с последнего, а с 50-го :-))) Ну так напиши все что хочешь в любой /usr/local/etc/rc.d/mysuperpuperfirewall.sh #!/bin/sh а в нем свои правила... /sbin/ipfw add nnn Вставить ник Quote
Psy Posted June 6, 2003 Author Posted June 6, 2003 :) задумка вот в чем: Правила безопасности вставить в один файл, а праила ограничения юзеров в другой. Так, чтобы пакет сперва гулял по правилам файла "безопасности", а потом - то что останется, чтобы переходило к правилам файла "ограничения юзеров"... Вот что надо сделать для этого? Вставить ник Quote
Psy Posted June 6, 2003 Author Posted June 6, 2003 Yuri, что скажешь по поводу 2-х файлов? Вставить ник Quote
YuryD Posted June 6, 2003 Posted June 6, 2003 Ну напиши безопасность в rc.firewall , все остальное сделай через скрипт из /usr/local/etc/rc.d Только учти - все будет работать согласно rule number :-(((( У меня например, все в rc.firewall , сначала правила deny, затем count , далее особые allow Главный глюк в номерах... второй - сначала allow затем count (хрен count посчитает правильно)... Ну и хорошо бы после всех allow написать deny ip from any to any Firewall бывают разные принципом построения. Мой принцип - разрешить необходимое и закрыть все остальное... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.