roysbike Posted December 19, 2011 Posted December 19, 2011 (edited) Друзья, никто не пробывал динамически отправлять ipfw правила Через атрибуты. mpd-rule, mpd-filter и тп. redirect port . например отправить пользователю , правило с блокированием трафика. Разрешить одно правило. redirect 80 порт на другую тачку Edited December 19, 2011 by roysbike Вставить ник Quote
Deac Posted December 19, 2011 Posted December 19, 2011 например отправить пользователю Это как? Ничего никуда не отправляется, всё остаётся на том же тазике. Внимательно читаем мануал к MPD. Вставить ник Quote
roysbike Posted December 19, 2011 Author Posted December 19, 2011 например отправить пользователю Это как? Ничего никуда не отправляется, всё остаётся на том же тазике. Внимательно читаем мануал к MPD. mpd 5.5 в динамике умеет отправлять через radclient mpd-limit. там типа all shape или all rate-limit 500000 скорость например. Также можно отравить mpd-rule +="100=deny all any to any" . Трафик не ходит. Теперь пытаюсь завести redirect . То есть , что бы все запросы по 80 потры пересылались на дургой хост с 80 портом! Вставить ник Quote
Deac Posted December 20, 2011 Posted December 20, 2011 mpd 5.5 в динамике умеет отправлять через radclient mpd-limit. Ну и причём тут пользователь?! Вставить ник Quote
xsintez Posted December 20, 2011 Posted December 20, 2011 так а что именно не получается? Передавайте через СоА что то типа.... fwd 127.0.0.1,3111 all from bla_bla_bla_table to any 80,81,8080,443 via EXT_IFACE Вставить ник Quote
roysbike Posted December 20, 2011 Author Posted December 20, 2011 так а что именно не получается? Передавайте через СоА что то типа.... fwd 127.0.0.1,3111 all from bla_bla_bla_table to any 80,81,8080,443 via EXT_IFACE mpd-rule += "fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" Тоесть форвардим от клиента 172.16.200.200 с портов 80,81,8080,443 на 127.0.0.1,3111??? Вставить ник Quote
Hawk128 Posted December 20, 2011 Posted December 20, 2011 Моя ссылкаhttp://mpd.sourceforge.net/doc5/mpd30.html#radius так а что именно не получается? Передавайте через СоА что то типа.... fwd 127.0.0.1,3111 all from bla_bla_bla_table to any 80,81,8080,443 via EXT_IFACE mpd-rule += "fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" Тоесть форвардим от клиента 172.16.200.200 с портов 80,81,8080,443 на 127.0.0.1,3111??? Почти: mpd-rule += "100=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" http://mpd.sourceforge.net/doc5/mpd30.html#radius Вставить ник Quote
roysbike Posted December 20, 2011 Author Posted December 20, 2011 (edited) Моя ссылкаhttp://mpd.sourceforge.net/doc5/mpd30.html#radius так а что именно не получается? Передавайте через СоА что то типа.... fwd 127.0.0.1,3111 all from bla_bla_bla_table to any 80,81,8080,443 via EXT_IFACE mpd-rule += "fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" Тоесть форвардим от клиента 172.16.200.200 с портов 80,81,8080,443 на 127.0.0.1,3111??? Почти: mpd-rule += "100=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" http://mpd.sourceforge.net/doc5/mpd30.html#radius спасибо ! получилось, теперь закрываюсь весь трафик а как разешить трафик только до 127.0.0.1? Делал вот так. трафик перестает ходить. mpd-rule += "100=deny all from 172.16.200.200/32 to any" mpd-rule += "101=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443" mpd-rule += "103=allow all from 172.16.200.200/32 to 127.0.0.1"?? Edited December 20, 2011 by roysbike Вставить ник Quote
Hawk128 Posted December 20, 2011 Posted December 20, 2011 Моя ссылкаhttp://mpd.sourceforge.net/doc5/mpd30.html#radius так а что именно не получается? Передавайте через СоА что то типа.... fwd 127.0.0.1,3111 all from bla_bla_bla_table to any 80,81,8080,443 via EXT_IFACE mpd-rule += "fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" Тоесть форвардим от клиента 172.16.200.200 с портов 80,81,8080,443 на 127.0.0.1,3111??? Почти: mpd-rule += "100=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443 via bge1" http://mpd.sourceforge.net/doc5/mpd30.html#radius спасибо ! получилось, теперь закрываюсь весь трафик а как разешить трафик только до 127.0.0.1? Делал вот так. трафик перестает ходить. mpd-rule += "100=deny all from 172.16.200.200/32 to any" mpd-rule += "101=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443" mpd-rule += "103=allow all from 172.16.200.200/32 to 127.0.0.1"?? Запрещать надо последним правилом, а не первым. Вставить ник Quote
roysbike Posted December 20, 2011 Author Posted December 20, 2011 Запрещать надо последним правилом, а не первым. mpd-rule += "101=fwd 127.0.0.1,3111 all from 172.16.200.200/32 to any 80,81,8080,443" mpd-rule += "102=allow all from 172.16.200.200/32 to 127.0.0.1" mpd-rule += "103=deny all from 172.16.200.200/32 to any" Все равно не работает forwarding. Убираю mpd-rule += "103=deny all from 172.16.200.200/32 to any" Тогда форвардит Вставить ник Quote
Hawk128 Posted December 20, 2011 Posted December 20, 2011 ipfw show покажите при подлюченном клиенте. Вставить ник Quote
roysbike Posted December 20, 2011 Author Posted December 20, 2011 ipfw show покажите при подлюченном клиенте. 10000 1920 130487 fwd 127.0.0.1,80 ip from 172.16.200.200 to any dst-port 80,81,8080,443 via ng0 10001 0 0 allow ip from 172.16.200.200 to 127.0.0.1 via ng0 10002 21741 1382924 deny ip from 172.16.200.200 to any via ng0 65535 81001268 76305132521 allow ip from any to any Вставить ник Quote
Ivan_83 Posted December 20, 2011 Posted December 20, 2011 10000 1920 130487 fwd 127.0.0.1,80 ip from 172.16.200.200 to any dst-port 80,81,8080,443 via ng010001 0 0 allow ip from 172.16.200.200 to 127.0.0.1 via ng0 127.0.0.1 не маршрутизируется, если фряха получает пакет с таким dst она его дропает. Замените на me, посколько правило форвадинга заменит dst адрес пакета после того как пакет будет allow. Вставить ник Quote
roysbike Posted December 20, 2011 Author Posted December 20, 2011 (edited) 10000 1920 130487 fwd 127.0.0.1,80 ip from 172.16.200.200 to any dst-port 80,81,8080,443 via ng010001 0 0 allow ip from 172.16.200.200 to 127.0.0.1 via ng0 127.0.0.1 не маршрутизируется, если фряха получает пакет с таким dst она его дропает. Замените на me, посколько правило форвадинга заменит dst адрес пакета после того как пакет будет allow. 10000 9 756 allow ip from 172.16.200.200 to 192.168.53.0/24 via ng0 10001 0 0 fwd 192.168.53.254,80 ip from 172.16.200.200 to any dst-port 80,81,8080,443 via ng0 10002 428 27058 deny ip from 172.16.200.200 to any via ng0 65535 82459311 77274196955 allow ip from any to any Дошло) спасибо за помощь. Надо было 53 порт разрешить для резольва Edited December 20, 2011 by roysbike Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.