pf - tables - syntax für Adressbereiche

Herakles

Herakles

Profifragensteller
Ich möchte gern meinen beiden festen IPs im lokalen Netz den Zugang nach "draussen" ermöglichen, wie auch den DHCP konfigurierten Rechnern. Allen anderen jedoch nicht. Laut Handbuch kann ich folgendes machen:

Code: 
table <goodguys> { 192.0.2.0/24 }

oder

Code: 
table <goodguys> { 192.0.2.0/24, !192.0.2.5 }

Soweit, so gut. Aber ich möchte gern zwei IPs explizit freigeben (kein Problem), dann aber den ganzen Bereich von 192.168.0.101 bis 192.168.0.255 freigeben und alles, was darunter ist, bis auf meine 2 Adressen eben, sperren. Muss ich da explizit jede IP aufführen (192.168.0.2, 192.168.0.3, 192.168.0.4, ...) oder gibt es da eine Syntax, mit der ich ganze Bereiche abdecken kann?

Danke
 
Mit den Tools ipcalc, cidr oder sipcalc (alle in den Ports) kannst du dir deine Netzmasken ausrechnen, die Werte übergibst du dann der jeweiligen table <goodguys>, der Operator ! gilt auch für die CIDR-Notation. Jede IP einzelnd aufzuführen ist nicht notwendig.
 
Hi Zusammen!

Ich glaube, Heidegger hat meine Frage nicht so recht verstanden. Ich habe mir jetzt mittlerweile zwar cidr installiert, und es liefert auch wunederbare Ergebnisse, aber die Infos, die ich von dem Programm bekomme, hatte ich vorher auch selber schon.

Ich möchte nicht mein ganzes Posting von oben noch einmal wiederholen; vielleicht liest sich nochmal jemand meine Frage durch und weiß vielleicht Hilfe.

Falls mein Posting da oben zu schlecht beschrieben ist, FRAGT!


Herakles
 
Wo gibt es denn noch ein Problem?
Deine Tabelle muß doch nur in etwa so aussehen:
Code: 
table <goodguy> { CIDR-Bereich, feste-ip1, feste-ip2 }

und am Anfang deiner Filterregeln hast du doch eine Block Regel die "alles" sperrt. Später in deinen Filter Regeln schreibst du dann eine Pass Regel mit deiner Tabelle.

mfg zepol
 
Ich denke, dass es hier nicht um ein Problem der Syntax geht, sondern darum, dass der Adressbereich von 192.168.0.101 bis 192.168.0.255 etwas ungünstig gewählt ist und sich deshalb nicht so einfach durch eine Netzmaske abbilden lässt.
Ich denke, dass Du entweder den Adressbereich anpassen oder aber in mehreren kleineren Subnetzen und IP-Adressen angeben musst.

Ich würde Dir empfehlen, den per DHCP vergebenen Bereich von 192.168.0.129 - 192.168.0.254 anzusiedeln. Dann kannst Du das leicht mit folgernder Tabelle realisieren:
Code: 
table <goodguy> { 192.168.0.128/25, feste-ip1, feste-ip2 }

Gruß,

Ice
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben