Re: podivne zpomaleni provozu s firewallem PF -OT

Thu, 29 Nov 2007 03:32:41 -0800 

diky za vysvetlani
ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym scriptem. /etc/rc.firewall je shellovsky script
takze includy nejsou problem? v jednom predchazejicim threadu jste rikal,ze aktualizace 

/etc/rc.firewall.rules
se pak musi zabezpecit jednoduchym scriptem. Coz si trochu protireci. 
rc.firewall.rules je script a aby v nem fungivali includy se musi osetrit 
dalsim scriptem? Nebo jste to myslel jinak,ale vyznelo to tak jak jsem to 
pochopil?



Lepe
set 31 deny 65535 ip from any to any
Takhle zadaneho pravidla se netyka 'flush' a firewall tak zustane defaultne zavreny i po nem. Otazka je, jaky ma smysl udelat si default-open a pak ho zavirat - ale mozne to je.
to set 31 ma nejakou specialni funkci,nebo kdyz napisu jiny cislo misto ty 31 je to jedno jaky tam je cislo? Musi to byt uvedene na konkretnim miste (zacatku ,konci scriptu),nebo je to jedno?
4,- v soucasnosti mam v /etc/rc.firewall.rules syntaxi add 100 pass all from any to any via lo0, muhu zde pouzit taky ipwf add 100 pass all from any to any via lo0? Nebo to v teto podobe muhu pouzit jen pri zadavani pres radku(scriptem)? 

        Ja nejak nevidim mezi
 > add 100 pass all from any to any via lo0
a
 > add 100 pass all from any to any via lo0

        rozdil ani v jednom pismenku. Zrejme nerozumim dotazu.



rozdil je v

add 100 pass all from any to any via lo0
a
ipwf add 100 pass all from any to any via lo0

na webu je to jednou tak  a jednou tak-rad bych vedel co je spravnejsi
5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby nemohli na DNS-nebo se pletu? 

        Ano - staci to *nebo* se pletes.

        Ale abych byl konstruktivni - pletes se.
DNS slouzi (zjednodusene receno) k prevodu jmen na IP adresu. Vlastni komunikace uz se nijak netyka. Pokdu stanicim zablokujes pristup k DNS pak jim znemoznis pouze tento prevod. Komunikaci na jim zname IP adresy nezabranis.
me docela staci,za se nedostanou na DNS, neznam nikoho kdo si pamatuje IP adresy z hlavy. pokud lidi nebudou vedet,ze to nefacha jen kvuly prekladum tak je nanapadne si z domova zjistit IP seznam.cz a v praci ji zadat do prohlizece a i kdyby jo dostanou se jen na tamni stranky,vse ostatni je stejne prolinkovano pres jmenne adresy a ne pres IP. 
-- 
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem