ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ivan Voytas                          2:450/118      05 Mar 2001  11:33:41
 To : All
 Subject : Грамотный Firewall
 -------------------------------------------------------------------------------- 
 

 
 Расскажите кто-нибудь опыт практического использования ipfw (или ipf) на
 роутере при количестве правил >100-200. Есть три интерфейса. Два natd. Hадо
 по правилам пропускать с каждого на каждый интерфейс только определенные
 потоки.
 Пока у меня сделано 6 разных rc.firewall:
 rc.firewall.outside
 rc.firewall.inside
 rc.firewall.clients
 rc.firewall.outside2clients
 rc.firewall.inside2clients
 Все они грузятся в rc.firewall, где описания интерфейсов, правила divert для
 natd и такие строки:
 # Include firewall rules for OUTSIDE interface
         if [ -r /etc/rc.firewall.outside ]; then
                 . /etc/rc.firewall.outside
         else
                 echo !!! /etc/rc.firewall.outside not found !!!
         fi
 Так вот. При возрастании количества правил сверх некоторого разумного числа,
 это все становится неуправляемым. Короче включаю - не работает. :-)
 Сложность в том, что кидать в лог _все_ ненужные пакеты не имею технической
 возможности - их слишком много. Потому на каждом интерфейсе есть некоторое
 количество правил deny без опции лог самого частого надоедливого трафика
 (винды всякие, бродкасты и т.д.). Отсюда и желание все поменять. Макросы
 может какие сделать, на шелле подпрограммы, на ipf переползти (там test
 есть).
 
 Хелп, в общем. Может у кого есть решение?
 --- Microsoft Outlook Express 5.00.2919.6700
  * Origin: Atlant-Telecom News Server (2:450/118.0)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор