[FUG-BR] IPFW - Liberar faixa de IP's

Daniel Angelini Toledo daniel em ainter.com.br
Qui Mar 10 16:45:20 BRT 2005 

Marcelo,

Usei o ipcalc como você indicou e funcionou perfeitamente.
Como forma de consulta, vou deixar registrado como procedi.

Linha de comando para o ipcalc:
ipcalc 192.168.26.0/24 -s 6

Address:   192.168.26.0         11000000.10101000.00011010. 00000000
Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
=>
Network:   192.168.26.0/24      11000000.10101000.00011010. 00000000
HostMin:   192.168.26.1         11000000.10101000.00011010. 00000001
HostMax:   192.168.26.254       11000000.10101000.00011010. 11111110
Broadcast: 192.168.26.255       11000000.10101000.00011010. 11111111
Hosts/Net: 254                   Class C, Private Internet

1. Requested size: 6 hosts
Netmask:   255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Network:   192.168.26.0/29      11000000.10101000.00011010.00000 000
HostMin:   192.168.26.1         11000000.10101000.00011010.00000 001
HostMax:   192.168.26.6         11000000.10101000.00011010.00000 110
Broadcast: 192.168.26.7         11000000.10101000.00011010.00000 111
Hosts/Net: 6                     Class C, Private Internet


E o firewall ficou assim:


#!/bin/sh

ipfw -f flush

ipfw add 01 divert 8668 ip from any to any via sis0
ipfw add 02 deny tcp from any to any 3128 via sis0
ipfw add 101 allow tcp from 192.168.26.0/24 to 192.168.26.254 3128 via
rl0
ipfw add 102 allow tcp from 192.168.26.0/29 to any 80 via rl0 setup
keep-state
ipfw add 103 deny tcp from 192.168.26.0/24 to any 80 via rl0 setup
keep-state
ipfw add 300 allow ip from any to any


Valeu pela ajuda!

Daniel

> então so usando o ipcalc e vendo se tem alguma possibilidade de escrever
> tipo 192.168.26.1/26 , senão é regra por regra acho que 1-6 num rola ,
> só testando pra ver
> 
> 
> 
> On Thu, 2005-03-10 at 13:15, Daniel Angelini Toledo wrote:
> > Desculpe, esqueci de mencionar. É ipfw versão 1.
> > 
> > > man ipfw
> > > 
> > > 
> > >  If you administer one or more subnets, you can take advantage of the
> > >      ipfw2 syntax to specify address sets and or-blocks and write
> > > extremely
> > >      compact rulesets which selectively enable services to blocks of
> > > clients,
> > >      as below:
> > > 
> > >            goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11}
> > > }"
> > >            badguys="10.1.2.0/24{8,38,60}"
> > > 
> > >            ipfw add allow ip from ${goodguys} to any
> > >            ipfw add deny ip from ${badguys} to any
> > >            ... normal policies ...
> > > 
> > > Marcelo
> > > 
> > > 
> > > On Thu, 2005-03-10 at 10:46, Daniel Angelini Toledo wrote:
> > > > Senhores,
> > > > 
> > > > Esgotei meus neurônios tentando fazer isso, e estou recorrendo à vocês.
> > > > 
> > > > Preciso liberar uma faixa de IP's para navegar sem proxy, ou seja, sair
> > > > pela porta 80, e bloquear todo o resto.
> > > > 
> > > > Liberar os IP's 192.168.26.1 até 192.168.26.6 e bloquear o resto.
> > > > 
> > > > Aqui está meu script de firewall:
> > > > 
> > > > sis0: interface externa
> > > > rl0: interface externa
> > > > 
> > > > #!/bin/sh
> > > > ipfw -f flush
> > > > ipfw add 01 divert 8668 ip from any to any via sis0
> > > > 
> > > > ipfw add 101 allow tcp from 192.168.26.0/24 to 192.168.26.254 3128 via
> > > > rl0
> > > > ipfw add 102 allow tcp from 192.168.26.1/32 to any 80 via rl0 setup
> > > > keep-state
> > > > ipfw add 103 allow tcp from 192.168.26.2/32 to any 80 via rl0 setup
> > > > keep-state
> > > > ipfw add 104 allow tcp from 192.168.26.3/32 to any 80 via rl0 setup
> > > > keep-state
> > > > ipfw add 105 allow tcp from 192.168.26.4/32 to any 80 via rl0 setup
> > > > keep-state
> > > > ipfw add 106 allow tcp from 192.168.26.5/32 to any 80 via sis0 setup
> > > > keep-state
> > > > ipfw add 107 allow tcp from 192.168.26.6/32 to any 80 via rl0 setup
> > > > keep-state
> > > > 
> > > > ipfw add 108 deny tcp from any to any 3128 via sis0
> > > > 
> > > > ipfw add 110 deny tcp from 192.168.26.0/24{7-254} to any 80 via rl0
> > > > 
> > > > ipfw add 300 allow ip from any to any
> > > > 
> > > > 
> > > > Grato
> > > > Daniel
> > > > 
> > > > _______________________________________________________________
> > > > Para enviar um novo email para a lista: freebsd em fug.com.br
> > > > Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > > > 
> > > 
> > > 
> > > _______________________________________________________________
> > > Para enviar um novo email para a lista: freebsd em fug.com.br
> > > Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > > 
> > 
> > 
> > _______________________________________________________________
> > Para enviar um novo email para a lista: freebsd em fug.com.br
> > Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > 
> 
> 
> _______________________________________________________________
> Para enviar um novo email para a lista: freebsd em fug.com.br
> Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> 


_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd