/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
IP restrictioner - FreeBSD, hvordan ?
Fra : Rune Klausen


Dato : 23-11-01 23:07

Hvordan er det muligt kun at give udvalgte IP'er adgang til f.eks. sin
www-server ?


f.eks. 62.242.*.* er de heldige som må få lov til at komme igennem på port
80, mens resten af nettet ikke kan se min www-sider. Men samtidig må *.*.*.*
godt komme ind på port 21.

er det så noget ligende det her: ?
ipfw add deny tcp from any to my.org 80
ipfw add allow tcp from 62.242.*.* to my.org 80
ipfw add allow tcp from any to my.org 80
ipfw add allow tcp from any to my.org 22

Hvad er så status på de porte som jeg ikke har rodet med ? f.eks. 10000

-Rune



 
 
Michael Lyngbøl (24-11-2001)
Kommentar
Fra : Michael Lyngbøl


Dato : 24-11-01 10:34

On Fri, 23 Nov 2001 23:07:06 +0100, Rune Klausen wrote:
> Hvordan er det muligt kun at give udvalgte IP'er adgang til f.eks. sin
> www-server ?
>
>
> f.eks. 62.242.*.* er de heldige som må få lov til at komme igennem på port
> 80, mens resten af nettet ikke kan se min www-sider. Men samtidig må *.*.*.*
> godt komme ind på port 21.
>
> er det så noget ligende det her: ?
> ipfw add deny tcp from any to my.org 80

Vil blot deny al trafik til tcp/80

> ipfw add allow tcp from 62.242.*.* to my.org 80

Nej, netmasker kan ikke specificeres med '*'.

> ipfw add allow tcp from any to my.org 80

Du har allerede deny'et al trafik til tcp/80, du vil aldrig 'nå' denne
regel.

> ipfw add allow tcp from any to my.org 22

Prøv med noget a la:

ipfw add allow tcp from 62.242.0.0/16 to me 80
ipfw add deny tcp from any to me 80

kan også klares med en enkelt regel:

ipfw add deny tcp from not 62.242/16 to me 80

> Hvad er så status på de porte som jeg ikke har rodet med ? f.eks. 10000

Det afhænger af din DEFAULT rule (65535), om den er deny eller allow:
% ipfw s 65535
65535 15665353 6240368314 allow ip from any to any

Læs man siderne ipfw(8) og firewall(7), de er ganske gode.

--
Michael Lyngbøl -- Opinions are mine[TM];
CBR 600F

Michael Lyngbøl (24-11-2001)
Kommentar
Fra : Michael Lyngbøl


Dato : 24-11-01 10:35

On 24 Nov 2001 09:33:38 GMT, Michael Lyngbøl wrote:

[...]

> kan også klares med en enkelt regel:
>
> ipfw add deny tcp from not 62.242/16 to me 80

62.242/16 dur ikke, det skal være:

ipfw add deny tcp from not 62.242.0.0/16 to me 80

--
Michael Lyngbøl -- Opinions are mine[TM];
CBR 600F

Rune Klausen (24-11-2001)
Kommentar
Fra : Rune Klausen


Dato : 24-11-01 12:27

# set these to your outside interface network and netmask and ip
oif="vr0"
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

hvordan er det lige man ser hvad det skal være ?



Dennis Pedersen (24-11-2001)
Kommentar
Fra : Dennis Pedersen


Dato : 24-11-01 14:24


"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> # set these to your outside interface network and netmask and ip
> oif="vr0"
> onet="192.0.2.0"
> omask="255.255.255.240"
> oip="192.0.2.1"
>
> hvordan er det lige man ser hvad det skal være ?

Det ser du udfra det interface du har der plejer ud mod internettet.

adsl->xl0->freebsd->xl1->lan

Så er dit outside interface xl0 idet det er det inteface der pejer ud mod
internettet..

/Dennis



Rune Klausen (25-11-2001)
Kommentar
Fra : Rune Klausen


Dato : 25-11-01 10:18


"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:mbNL7.4554$TN1.415509@news000.worldonline.dk...
>
> "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> > # set these to your outside interface network and netmask and ip
> > oif="vr0"
> > onet="192.0.2.0"
> > omask="255.255.255.240"
> > oip="192.0.2.1"
> >
> > hvordan er det lige man ser hvad det skal være ?
>
> Det ser du udfra det interface du har der plejer ud mod internettet.
>
> adsl->xl0->freebsd->xl1->lan
>
> Så er dit outside interface xl0 idet det er det inteface der pejer ud mod
> internettet..

Det er jeg nået frem til, men er det ikke svært at stille den, hvis man får
ny ip fra TDC i ny og næ ?

-Rune



Dennis Pedersen (25-11-2001)
Kommentar
Fra : Dennis Pedersen


Dato : 25-11-01 15:50


"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c00b748$0$750$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:mbNL7.4554$TN1.415509@news000.worldonline.dk...
> >
> > "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> > news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> > > # set these to your outside interface network and netmask and ip
> > > oif="vr0"
> > > onet="192.0.2.0"
> > > omask="255.255.255.240"
> > > oip="192.0.2.1"
> > >
> > > hvordan er det lige man ser hvad det skal være ?
> >
> > Det ser du udfra det interface du har der plejer ud mod internettet.
> >
> > adsl->xl0->freebsd->xl1->lan
> >
> > Så er dit outside interface xl0 idet det er det inteface der pejer ud
mod
> > internettet..
>
> Det er jeg nået frem til, men er det ikke svært at stille den, hvis man
får
> ny ip fra TDC i ny og næ ?

Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
ipadresse ;)

/Dennis




Rune Klausen (25-11-2001)
Kommentar
Fra : Rune Klausen


Dato : 25-11-01 15:58


"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> >
> > Det er jeg nået frem til, men er det ikke svært at stille den, hvis man
> får
> > ny ip fra TDC i ny og næ ?
>
> Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> ipadresse ;)

nu var det mere
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

Dem skal man vel også stille på ?

-Rune




Dennis Pedersen (25-11-2001)
Kommentar
Fra : Dennis Pedersen


Dato : 25-11-01 17:30


"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > >
> > > Det er jeg nået frem til, men er det ikke svært at stille den, hvis
man
> > får
> > > ny ip fra TDC i ny og næ ?
> >
> > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > ipadresse ;)
>
> nu var det mere
> onet="192.0.2.0"
> omask="255.255.255.240"
> oip="192.0.2.1"
>
> Dem skal man vel også stille på ?

Ikke hvis du bruger de regler Michael L. foreslog.
Så behøver du slet ikke at indtaste dem i dit firewall script da 'me' den
slår ipadressen op på dine interfaces og bruger den ip.


/Dennis



Rune Klausen (25-11-2001)
Kommentar
Fra : Rune Klausen


Dato : 25-11-01 18:38


"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:I%8M7.6507$TN1.655556@news000.worldonline.dk...
>
> "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
> >
> > "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> > news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > > >
> > > > Det er jeg nået frem til, men er det ikke svært at stille den, hvis
> man
> > > får
> > > > ny ip fra TDC i ny og næ ?
> > >
> > > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > > ipadresse ;)
> >
> > nu var det mere
> > onet="192.0.2.0"
> > omask="255.255.255.240"
> > oip="192.0.2.1"
> >
> > Dem skal man vel også stille på ?
>
> Ikke hvis du bruger de regler Michael L. foreslog.
> Så behøver du slet ikke at indtaste dem i dit firewall script da 'me' den
> slår ipadressen op på dine interfaces og bruger den ip.

sweet :)

takker

-Rune



Dennis Pedersen (25-11-2001)
Kommentar
Fra : Dennis Pedersen


Dato : 25-11-01 19:37


"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c012c69$0$25382$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:I%8M7.6507$TN1.655556@news000.worldonline.dk...
> >
> > "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> > news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
> > >
> > > "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in
message
> > > news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > > > >
> > > > > Det er jeg nået frem til, men er det ikke svært at stille den,
hvis
> > man
> > > > får
> > > > > ny ip fra TDC i ny og næ ?
> > > >
> > > > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > > > ipadresse ;)
> > >
> > > nu var det mere
> > > onet="192.0.2.0"
> > > omask="255.255.255.240"
> > > oip="192.0.2.1"
> > >
> > > Dem skal man vel også stille på ?
> >
> > Ikke hvis du bruger de regler Michael L. foreslog.
> > Så behøver du slet ikke at indtaste dem i dit firewall script da 'me'
den
> > slår ipadressen op på dine interfaces og bruger den ip.
>
> sweet :)

Når jeg lige tænker mig om så er det vist noget med der lige for ganske
nyligt er opdaget en bug i 'me' delen, så jeg tror liiige du skal se om din
ipfw den skal patches inden du går i krig med det..

/Dennis



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408905
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste