---

Hvordan er det muligt kun at give udvalgte IP'er adgang til f.eks. sin
www-server ?


f.eks. 62.242.*.* er de heldige som må få lov til at komme igennem på port
80, mens resten af nettet ikke kan se min www-sider. Men samtidig må *.*.*.*
godt komme ind på port 21.

er det så noget ligende det her: ?
ipfw add deny tcp from any to my.org 80
ipfw add allow tcp from 62.242.*.* to my.org 80
ipfw add allow tcp from any to my.org 80
ipfw add allow tcp from any to my.org 22

Hvad er så status på de porte som jeg ikke har rodet med ? f.eks. 10000

-Rune

---

On Fri, 23 Nov 2001 23:07:06 +0100, Rune Klausen wrote:
> Hvordan er det muligt kun at give udvalgte IP'er adgang til f.eks. sin
> www-server ?
>
>
> f.eks. 62.242.*.* er de heldige som må få lov til at komme igennem på port
> 80, mens resten af nettet ikke kan se min www-sider. Men samtidig må *.*.*.*
> godt komme ind på port 21.
>
> er det så noget ligende det her: ?
> ipfw add deny tcp from any to my.org 80

Vil blot deny al trafik til tcp/80

> ipfw add allow tcp from 62.242.*.* to my.org 80

Nej, netmasker kan ikke specificeres med '*'.

> ipfw add allow tcp from any to my.org 80

Du har allerede deny'et al trafik til tcp/80, du vil aldrig 'nå' denne
regel.

> ipfw add allow tcp from any to my.org 22

Prøv med noget a la:

ipfw add allow tcp from 62.242.0.0/16 to me 80
ipfw add deny tcp from any to me 80

kan også klares med en enkelt regel:

ipfw add deny tcp from not 62.242/16 to me 80

> Hvad er så status på de porte som jeg ikke har rodet med ? f.eks. 10000

Det afhænger af din DEFAULT rule (65535), om den er deny eller allow:
% ipfw s 65535
65535 15665353 6240368314 allow ip from any to any

Læs man siderne ipfw(8) og firewall(7), de er ganske gode.

--
Michael Lyngbøl -- Opinions are mine[TM];
CBR 600F

---

On 24 Nov 2001 09:33:38 GMT, Michael Lyngbøl wrote:

[...]

> kan også klares med en enkelt regel:
>
> ipfw add deny tcp from not 62.242/16 to me 80

62.242/16 dur ikke, det skal være:

ipfw add deny tcp from not 62.242.0.0/16 to me 80

--
Michael Lyngbøl -- Opinions are mine[TM];
CBR 600F

---

# set these to your outside interface network and netmask and ip
oif="vr0"
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

hvordan er det lige man ser hvad det skal være ?

---

"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> # set these to your outside interface network and netmask and ip
> oif="vr0"
> onet="192.0.2.0"
> omask="255.255.255.240"
> oip="192.0.2.1"
>
> hvordan er det lige man ser hvad det skal være ?

Det ser du udfra det interface du har der plejer ud mod internettet.

adsl->xl0->freebsd->xl1->lan

Så er dit outside interface xl0 idet det er det inteface der pejer ud mod
internettet..

/Dennis

---

"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:mbNL7.4554$TN1.415509@news000.worldonline.dk...
>
> "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> > # set these to your outside interface network and netmask and ip
> > oif="vr0"
> > onet="192.0.2.0"
> > omask="255.255.255.240"
> > oip="192.0.2.1"
> >
> > hvordan er det lige man ser hvad det skal være ?
>
> Det ser du udfra det interface du har der plejer ud mod internettet.
>
> adsl->xl0->freebsd->xl1->lan
>
> Så er dit outside interface xl0 idet det er det inteface der pejer ud mod
> internettet..

Det er jeg nået frem til, men er det ikke svært at stille den, hvis man får
ny ip fra TDC i ny og næ ?

-Rune

---

"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c00b748$0$750$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:mbNL7.4554$TN1.415509@news000.worldonline.dk...
> >
> > "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> > news:3bff8405$0$730$edfadb0f@dspool01.news.tele.dk...
> > > # set these to your outside interface network and netmask and ip
> > > oif="vr0"
> > > onet="192.0.2.0"
> > > omask="255.255.255.240"
> > > oip="192.0.2.1"
> > >
> > > hvordan er det lige man ser hvad det skal være ?
> >
> > Det ser du udfra det interface du har der plejer ud mod internettet.
> >
> > adsl->xl0->freebsd->xl1->lan
> >
> > Så er dit outside interface xl0 idet det er det inteface der pejer ud
mod
> > internettet..
>
> Det er jeg nået frem til, men er det ikke svært at stille den, hvis man
får
> ny ip fra TDC i ny og næ ?

Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
ipadresse ;)

/Dennis

---

"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> >
> > Det er jeg nået frem til, men er det ikke svært at stille den, hvis man
> får
> > ny ip fra TDC i ny og næ ?
>
> Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> ipadresse ;)

nu var det mere
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"

Dem skal man vel også stille på ?

-Rune

---

"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > >
> > > Det er jeg nået frem til, men er det ikke svært at stille den, hvis
man
> > får
> > > ny ip fra TDC i ny og næ ?
> >
> > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > ipadresse ;)
>
> nu var det mere
> onet="192.0.2.0"
> omask="255.255.255.240"
> oip="192.0.2.1"
>
> Dem skal man vel også stille på ?

Ikke hvis du bruger de regler Michael L. foreslog.
Så behøver du slet ikke at indtaste dem i dit firewall script da 'me' den
slår ipadressen op på dine interfaces og bruger den ip.


/Dennis

---

"Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
news:I%8M7.6507$TN1.655556@news000.worldonline.dk...
>
> "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
> >
> > "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> > news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > > >
> > > > Det er jeg nået frem til, men er det ikke svært at stille den, hvis
> man
> > > får
> > > > ny ip fra TDC i ny og næ ?
> > >
> > > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > > ipadresse ;)
> >
> > nu var det mere
> > onet="192.0.2.0"
> > omask="255.255.255.240"
> > oip="192.0.2.1"
> >
> > Dem skal man vel også stille på ?
>
> Ikke hvis du bruger de regler Michael L. foreslog.
> Så behøver du slet ikke at indtaste dem i dit firewall script da 'me' den
> slår ipadressen op på dine interfaces og bruger den ip.

sweet :)

takker

-Rune

---

"Rune Klausen" <rune.klausen@paradis.dk> wrote in message
news:3c012c69$0$25382$edfadb0f@dspool01.news.tele.dk...
>
> "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in message
> news:I%8M7.6507$TN1.655556@news000.worldonline.dk...
> >
> > "Rune Klausen" <rune.klausen@paradis.dk> wrote in message
> > news:3c0106f5$0$25409$edfadb0f@dspool01.news.tele.dk...
> > >
> > > "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk> wrote in
message
> > > news:iy7M7.6436$TN1.638788@news000.worldonline.dk...
> > > > >
> > > > > Det er jeg nået frem til, men er det ikke svært at stille den,
hvis
> > man
> > > > får
> > > > > ny ip fra TDC i ny og næ ?
> > > >
> > > > Eeeh, Interfacet skulle da gerne hedde det samme selvom du får en ny
> > > > ipadresse ;)
> > >
> > > nu var det mere
> > > onet="192.0.2.0"
> > > omask="255.255.255.240"
> > > oip="192.0.2.1"
> > >
> > > Dem skal man vel også stille på ?
> >
> > Ikke hvis du bruger de regler Michael L. foreslog.
> > Så behøver du slet ikke at indtaste dem i dit firewall script da 'me'
den
> > slår ipadressen op på dine interfaces og bruger den ip.
>
> sweet :)

Når jeg lige tænker mig om så er det vist noget med der lige for ganske
nyligt er opdaget en bug i 'me' delen, så jeg tror liiige du skal se om din
ipfw den skal patches inden du går i krig med det..

/Dennis