※ 本文為 layzer 轉寄自 ptt.cc 更新時間: 2012-10-15 07:31:37
看板 Network
作者 標題 Re: [問題] 請問幾個BrazilFW的問題
時間 Wed Dec 23 10:39:49 2009
※ 引述《akirakid (子連れ狼ー仔貓篇)》之銘言:
: 先說一聲感謝 m(_ _)m
: 因為房客好像要搬家了, 不管怎麼貼字條公告就是拼命用
: 迅雷抓檔外加中一堆毒, 只是D-link DIR 300一直當機燈
: 號全亮, 我也沒辦法有LOG之類的證據來拔他線 Q_Q
: 緊急拿了舊賽揚裝上BrazilFW上機, 不過既不瞭解Linux
: 系統也沒辦法多一些時間做實驗就上機了...
: 我使用的是BrazilFW 2.318
: 想請問的問題1.
: BrazilFW中的子網路切割那邊可以設定其中一個內部IP的
: 最大/最小/保證頻寬, 它那10.10.0.1(預設?)的子網路遮
: 罩預設是30, 我應該把它那個IP設成我要加以限制的一台
: 電腦的內部IP嗎?它的子網路遮罩要改嗎?要改成多少呢?
: 我不知道它那個子網路遮罩是什麼跟要怎麼設 +_+
這牽扯到VSLM的部份~ 預設的部分只是給你參考用,而事實上是可看你的需求而定~
若假設要針對單一IP,就可以設定 x.x.x.x/32
針對某個區段的IP,假設是 192.168.1.1~30 這個區塊的IP,
就設定 192.168.1.1/27 這個意思...
http://www.subnet-calculator.com/
Online IP Subnet Calculator
Online IP Subnet Calculator ...
Online IP Subnet Calculator ...
若要更了解網路切割的計算程式
http://bosonsoftwaredownloads.com/utils/bos_sub.exe
這套是Free的... 可以去玩玩看~~~
至於要了解子網路切割
http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Classless Inter-Domain Routing - Wikipedia, the free encyclopedia
![[圖]]()
![[圖]]()
![[圖]]()
Classless Inter-Domain Routing (CIDR) is a method for allocating IP addresses and routing Internet Protocol packets. The Internet Engineering Task Force introduced CIDR in 1993 to replace the previous addressing architecture of classful network design in the Internet. Their goal was to slow the grow ...
![[圖]](http://i2.disp.cc/s/upload.wikimedia.org/wikipedia_commons_thumb_0_0f_Mergefrom.svg_50px-Mergefrom.svg.png)
![[圖]](http://i2.disp.cc/s/upload.wikimedia.org/wikipedia_commons_thumb_7_7b_IP_Address_Match.svg_400px-IP_Address_Match.svg.png)
![[圖]](http://i2.disp.cc/s/upload.wikimedia.org/wikipedia_commons_thumb_0_09_CIDR_Address.png_400px-CIDR_Address.png)
: 想請問的問題2.
: 底下這篇文章它的指令部份應該要放在BrazilFW的哪裡呢?
: 我是看到layer7的字樣把它放到防火牆底下, 用==把像是
: 擋BT之類的說明rem掉保留然後用web連進管理模式貼到防
: 牆的規則下新增, 不過新增完點OK後只看的到剩下iptables
: 之類文字的第一句, 我想或許我放錯了, 正確的作法應該
: 是?寫在會一開始自動載入的腳本嗎?或是編輯在
: /etc/rc.d/rc.local 檔中?
這個檔,沒事不要去更動他! 要不然規則到處放很亂...
到時候連自己管理的人都會搞混...
: 另外就是底下的字句中
: "設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網"
: 它的指令是只針對192.168.0.100嗎? 若我要限制別的IP或
: 全部的IP我應該在指令中全打上像192.168.0.101, 192.168.0.102
: ....這樣嗎?
: =====
: 作者 wheat070201
: 文章日期: 2008-07-26 00:32
: 擋BT
: iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP
: iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP
: 擋FOXY (連都連不上)
: iptables -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP
: iptables -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j DROP
: 設定 192.168.0.100 的連接數(SESSION)超過1000就不能上網
: iptables -t mangle -I PREROUTING -p tcp --dport 0:65535 -s 192.168.0.100 -m
: connlimit --connlimit-above 1000 -j DROP
要iptables的規則寫在哪呢?
進階防火牆設定 --> 編輯自定義防火牆規則
然後寫在最後面...
不過以iptables的特性... 就是先執行的就會先進行動作...
假設...
1 -> deny
2 -> allow
而 allow 2 會後執行,先會deny 1~
我舉個案例好了~ (iptables支援 /xx or /submask)
iptables -A INPUT -s 192.168.1.100/32 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
這樣的案例就是先阻擋 192.168.1.100 這個IP,然後再允許 192.168.1.0這個網段
那 192.168.1.100有沒有被擋呢? 實際上是有的... 因為先執行就先動作~
所以除了192.168.1.100被阻擋,而192.168.1.0/24當中其他IP都可以進入iptables當中!
不過這樣的寫法是比較笨的寫法, 還有更簡單的寫法就是~
iptables -A INPUT -s ! 192.168.1.100/32 -j ACCEPT
這段意思更簡單就是~~~ 不是192.168.1.100的來源,就允許... XD
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.116.248.253
→ :感謝您的回答, 等等就來實際操作跑一次看看 o.o/1F 12/23 11:33
推 :補推, 順便請教一下如果想要理解這些有中文的書推薦嗎?
推 :補推, 順便請教一下如果想要理解這些有中文的書推薦嗎?
→ :先去把網路基本概論讀OK之後...再去讀iptables書籍3F 12/23 12:03
→ :只不過brazilfw在我研究之下,目前是沒有發現有比較好的辦
→ :法去防制ARP欺騙的這個部份
→ :只不過brazilfw在我研究之下,目前是沒有發現有比較好的辦
→ :法去防制ARP欺騙的這個部份
--
※ 看板: layzer 文章推薦值: 0 目前人氣: 0 累積人氣: 440
回列表(←)
分享