Re: [問題] 請問幾個BrazilFW的問題

作者wst2080 (wst2080)

看板Network

標題Re: [問題] 請問幾個BrazilFW的問題

時間Wed Dec 23 10:39:49 2009

※ 引述《akirakid (子連れ狼ー仔貓篇)》之銘言： : 先說一聲感謝 m(_ _)m : 因為房客好像要搬家了, 不管怎麼貼字條公告就是拼命用 : 迅雷抓檔外加中一堆毒, 只是D-link DIR 300一直當機燈 : 號全亮, 我也沒辦法有LOG之類的證據來拔他線 Q_Q : 緊急拿了舊賽揚裝上BrazilFW上機, 不過既不瞭解Linux : 系統也沒辦法多一些時間做實驗就上機了... : 我使用的是BrazilFW 2.318 : 想請問的問題1. : BrazilFW中的子網路切割那邊可以設定其中一個內部IP的 : 最大/最小/保證頻寬, 它那10.10.0.1(預設?)的子網路遮 : 罩預設是30, 我應該把它那個IP設成我要加以限制的一台 : 電腦的內部IP嗎?它的子網路遮罩要改嗎?要改成多少呢? : 我不知道它那個子網路遮罩是什麼跟要怎麼設 +_+ 這牽扯到VSLM的部份~ 預設的部分只是給你參考用,而事實上是可看你的需求而定~ 若假設要針對單一IP,就可以設定 x.x.x.x/32 針對某個區段的IP,假設是 192.168.1.1~30 這個區塊的IP, 就設定 192.168.1.1/27 這個意思... http://www.subnet-calculator.com/ 這個可以幫你計算網路遮罩... 若要更了解網路切割的計算程式 http://bosonsoftwaredownloads.com/utils/bos_sub.exe 這套是Free的... 可以去玩玩看~~~ 至於要了解子網路切割 http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing 我想這篇文章寫的還很詳細,我想我就不用特別的寫一篇 : 想請問的問題2. : 底下這篇文章它的指令部份應該要放在BrazilFW的哪裡呢? : 我是看到layer7的字樣把它放到防火牆底下, 用==把像是 : 擋BT之類的說明rem掉保留然後用web連進管理模式貼到防 : 牆的規則下新增, 不過新增完點OK後只看的到剩下iptables : 之類文字的第一句, 我想或許我放錯了, 正確的作法應該 : 是?寫在會一開始自動載入的腳本嗎?或是編輯在 : /etc/rc.d/rc.local 檔中? 這個檔,沒事不要去更動他! 要不然規則到處放很亂... 到時候連自己管理的人都會搞混... : 另外就是底下的字句中 : "設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網" : 它的指令是只針對192.168.0.100嗎? 若我要限制別的IP或 : 全部的IP我應該在指令中全打上像192.168.0.101, 192.168.0.102 : ....這樣嗎? : ===== : 作者 wheat070201 : 文章日期: 2008-07-26 00:32 : 擋BT : iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP : iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP : 擋FOXY (連都連不上) : iptables -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP : iptables -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j DROP : 設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網 : iptables -t mangle -I PREROUTING -p tcp --dport 0:65535 -s 192.168.0.100 -m : connlimit --connlimit-above 1000 -j DROP 要iptables的規則寫在哪呢? 進階防火牆設定 --> 編輯自定義防火牆規則然後寫在最後面... 不過以iptables的特性... 就是先執行的就會先進行動作... 假設... 1 -> deny 2 -> allow 而 allow 2 會後執行,先會deny 1~ 我舉個案例好了~ (iptables支援 /xx or /submask) iptables -A INPUT -s 192.168.1.100/32 -j DROP iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT 這樣的案例就是先阻擋 192.168.1.100 這個IP,然後再允許 192.168.1.0這個網段 . 那 192.168.1.100有沒有被擋呢? 實際上是有的... 因為先執行就先動作~ 所以除了192.168.1.100被阻擋,而192.168.1.0/24當中其他IP都可以進入iptables當中! 不過這樣的寫法是比較笨的寫法, 還有更簡單的寫法就是~ iptables -A INPUT -s ! 192.168.1.100/32 -j ACCEPT 這段意思更簡單就是~~~ 不是192.168.1.100的來源,就允許... XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.248.253

→ akirakid:感謝您的回答, 等等就來實際操作跑一次看看 o.o/ 12/23 11:33

推 akirakid:補推, 順便請教一下如果想要理解這些有中文的書推薦嗎? 12/23 11:41

→ wst2080:先去把網路基本概論讀OK之後...再去讀iptables書籍 12/23 12:03

→ wst2080:只不過brazilfw在我研究之下,目前是沒有發現有比較好的辦 12/23 12:07

→ wst2080:法去防制ARP欺騙的這個部份 12/23 12:08