Мини-HOWTO: Cipe+Маскарадинг в Linux
Пред.		След.

Настройки, общие для всех машин

/etc/cipe/ip-up

Ядро 2.0, ipfwadm, cipe 1.0.x

#!/bin/bash # ip-up <интерфейс> <мой_адрес> <pid_демона> <локальный_адрес> <удаленный_адрес> <аргументы> #3/29/1999 #Это пример скрипта ip-up для старых ядер версий 1.x 2.x, использующих ipfwadm, #настраивающий маршруты и правила firewall для соединения вашей сети класса c #с удаленной сетью класса c. #Правила настроены с учетом невозможности нелегального перехвата пакетов, #а также нелегальной маршрутизации между сетями. Дополнительные меры безопасности #приведены в конце скрипта (закомментированы). #Вопросы и предложения посылайте по адресу acj@home.com. #-------------------------------------------------------------------------- #Настраиваем некоторые переменные device=$1 # Интерфейс CIPE me=$2 # Наш UDP-адрес pid=$3 # ID процесса демона ipaddr=$4 # IP-адрес нашего CIPE-устройства vptpaddr=$5 # IP-адрес удаленного CIPE-устройства option=$6 # аргументы, переданные через опции скрипта PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin" #рас(за)-комментируйте следующую строку для включение в системный журнал #всех попыток неавторизованного доступа. Эта строка должна соответствовать #строке в скрипте ip-down для правильного отключения правил. log="-o" #-------------------------------------------------------------------------- umask 022 # пример записи в журнал #echo "UP $*" >> /var/adm/cipe.log # во многих системах требуются такие pid-файлы #echo $3 > /var/run/$device.pid #-------------------------------------------------------------------------- #добавляем маршрут к удаленной сети network=`expr $ptpaddr : '$[0-9]*\.[0-9]*\.[0-9]*\.$'`0 route add -net $network netmask 255.255.255.0 dev $device #для ядер версии 2.0 надо добавить и маршрут к машине route add -host $ptpaddr dev $device #-------------------------------------------------------------------------- #Правила для входящего потока firewall для интерфейса cipe #они должны задаваться в обратном порядке #запрещаем все остальные входящие с интерфейса cipe пакеты ipfwadm -I -i deny -W $device -S 0/0 -D 0/0 $log #разрешаем все пакеты, входящие с интерфейса cipe из удаленной сети для локальной ipfwadm -I -i accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #разрешаем все пакеты, входящие с интерфейса cipe из локальной сети для удаленной ipfwadm -I -i accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #запрещаем все пакеты, входящие с интерфейса cipe из локальной сети для локальной; записываем это в журнал ipfwadm -I -i deny -W $device -S $ipaddr/24 -D $ipaddr/24 $log #-------------------------------------------------------------------------- #Правила для исходящего потока firewall для интерфейса cipe #они должны задаваться в обратном порядке #запрещаем все остальные исходящие из интерфейса cipe пакеты ipfwadm -O -i deny -W $device -S 0/0 -D 0/0 $log #разрешаем все пакеты, исходящие с интерфейса cipe из удаленной сети для локальной ipfwadm -O -i accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #разрешаем все пакеты, исходящие с интерфейса cipe из локальной сети для удаленной ipfwadm -O -i accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #запрещаем все пакеты, исходящие с интерфейса cipe из локальной сети для локальной; записываем это в журнал ipfwadm -O -i deny -W $device -S $ipaddr/24 -D $ipaddr/24 $log #-------------------------------------------------------------------------- #Правила для проходящего потока firewall для интерфейса cipe #они настроены так, чтобы машины локальной сети не попадали для удаленной #под маскарадинг. Так лучше работать с обеими сетями #они должны задаваться в обратном порядке #запрещаем все остальные проходящие через интерфейс cipe пакеты; записываем это в журнал ipfwadm -F -i deny -W $device -S 0/0 -D 0/0 $log #разрешаем все пакеты, проходящие через интерфейс cipe из удаленной сети в локальную ipfwadm -F -i accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #разрешаем все пакеты, проходящие через интерфейс cipe из локальной сети в удаленную ipfwadm -F -i accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #-------------------------------------------------------------------------- #Для большей уверенности разрешаем ядру переадресацию пакетов /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #-------------------------------------------------------------------------- #Дополнение к системе безопасности - в случае, если стандартное правило для #проходящего потока установлено в DENY или REJECT. #определяем интерфейсы машины #localif="eth0" #staticif="eth1" ;для пользователей кабельных модемов #staticif="ppp0" ;для пользователей обычных модемов #По-настоящему грубо определяем удаленный ip-адрес, взяв его из файла options. #В идеале этот адрес надо передавать скрипту через аргументы #Надо раскомментировать обе строки #peerfile=`grep $device /etc/cipe/options.* | cut -f1 -d:` #peer=`grep peer $peerfile | cut -f1 -d: | awk '{print $2}'` #Запоминаем удаленный ip-адрес для скрипта ip-down #echo $peer > /var/run/$device.peerip #разрешаем пересылку пакетов из локальной сети в удаленную, через сетевую карту #ipfwadm -F -i accept -W $localif -S $ipaddr/24 -D $ptpaddr/24 #разрешаем пересылку пакетов из удаленной сети в локальную, через сетевую карту #ipfwadm -F -i accept -W $localif -S $ptpaddr/24 -D $ipaddr/24 #разрешаем пересылку на интерфейсе staticif от этой системы к удаленной #myaddr=`echo $me | cut -f1 -d:` #ipfwadm -F -i accept -W $staticif -S $myaddr -D $peer #-------------------------------------------------------------------------- #Второе дополнение к системе безопасности - блокируем все запросы к udp-порту #cipe, кроме идущих от удаленной машины #необходимо определить udp-порты интерфейса cipe #получаем наш udp-порт #if [ "$option" = "" ]; then # myport=`echo $me | cut -f2 -d:` #else # myport=$option #fi #получаем удаленный udp-порт #переменная peerfile должна быть задана #peerport=`grep peer $peerfile | cut -f2 -d:` #запоминаем удаленный udp-порт cipe для скрипта ip-down #echo $peerport > /var/run/$device.peerport #получаем наш ip-адрес #myaddr=`echo $me | cut -f1 -d:` #запрещаем все запросы к udp-порту cipe; записываем это в журнал #ipfwadm -I -i deny -P udp -W $staticif -S 0/0 -D $myaddr $myport $log #разрешаем все запросы к udp-порту cipe, идущие из интерфейса staticif, от удаленной машины #ipfwadm -I -i accept -P udp -W $staticif -S $peer $peerport \ #-D $myaddr $myport exit 0

Ядро 2.1/2.2, ipchains, cipe 1.2.x

#!/bin/bash # ip-up <interface> <myaddr> <daemon-pid> <local> <remote> <arg> #3/29/1999 #Это пример скрипта ip-up для новых ядер версий 2.1/2ю2, использующих ipchains, #настраивающий маршруты и правила firewall для соединения вашей сети класса c #с удаленной сетью класса c. В этом скрипте задаются три пользовательских потока - #по одному на каждый интерфейс cipe (разделенные по имени интерфейса). #После этого, в каждый из трех встроенных потоков, добавляются правила, #переназначающие эти потоки в пользовательские #Правила настроены с учетом невозможности нелегального перехвата пакетов, #а также нелегальной маршрутизации между сетями. Дополнительные меры безопасности #приведены в конце скрипта (закомментированы). #Вопросы и предложения посылайте по адресу acj@home.com. #-------------------------------------------------------------------------- #Настраиваем некоторые переменные device=$1 # Интерфейс CIPE me=$2 # Наш UDP-адрес pid=$3 # ID процесса демона ipaddr=$4 # IP-адрес нашего CIPE-устройства ptpaddr=$5 # IP-адрес удаленного CIPE-устройства option=$6 # аргументы, переданные через опции скрипта PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin" #рас(за)-комментируйте следующую строку для включение в системный журнал #всех попыток неавторизованного доступа. Эта строка должна соответствовать #строке в скрипте ip-down для правильного отключения правил. log="-l" #-------------------------------------------------------------------------- umask 022 # пример записи в журнал #echo "UP $*" >> /var/adm/cipe.log # во многих системах требуются такие pid-файлы #echo $3 > /var/run/$device.pid #-------------------------------------------------------------------------- #добавляем маршрут к удаленной сети network=`expr $ptpaddr : '$[0-9]*\.[0-9]*\.[0-9]*\.$'`0 route add -net $network netmask 255.255.255.0 dev $device #-------------------------------------------------------------------------- #Создаем пользовательский поток для входящего по интерфейсу cipe ipchains -N $device"i" #удаляем все правила для этого потока (на всякий случай) ipchains -F $device"i" #запрещаем все пакеты, входящие с интерфейса cipe из локальной сети для локальной; записываем это в журнал ipchains -A $device"i" -j DENY -i $device -s $ipaddr/24 -d $ipaddr/24 $log #разрешаем все пакеты, входящие с интерфейса cipe из локальной сети для удаленной ipchains -A $device"i" -j ACCEPT -i $device -s $ipaddr/24 -d $ptpaddr/24 #разрешаем все пакеты, входящие с интерфейса cipe из удаленной сети для локальной ipchains -A $device"i" -j ACCEPT -i $device -s $ptpaddr/24 -d $ipaddr/24 #запрещаем все остальные входящие с интерфейса cipe пакеты ipchains -A $device"i" -j DENY -s 0/0 -d 0/0 $log #-------------------------------------------------------------------------- #Создаем пользовательский поток для исходящего из интерфейса cipe ipchains -N $device"o" #удаляем все правила для этого потока (на всякий случай) ipchains -F $device"o" #запрещаем все пакеты, исходящие с интерфейса cipe из локальной сети для локальной; записываем это в журнал ipchains -A $device"o" -j DENY -i $device -s $ipaddr/24 -d $ipaddr/24 $log #разрешаем все пакеты, исходящие с интерфейса cipe из локальной сети для удаленной ipchains -A $device"o" -j ACCEPT -i $device -s $ipaddr/24 -d $ptpaddr/24 #разрешаем все пакеты, исходящие с интерфейса cipe из удаленной сети для локальной ipchains -A $device"o" -j ACCEPT -i $device -s $ptpaddr/24 -d $ipaddr/24 #запрещаем все остальные исходящие из интерфейса cipe пакеты ipchains -A $device"o" -j DENY -s 0/0 -d 0/0 $log #-------------------------------------------------------------------------- #Правила для проходящего потока firewall для интерфейса cipe #они настроены так, чтобы машины локальной сети не попадали для удаленной #под маскарадинг. Так лучше работать с обеими сетями #Создаем пользовательский поток для проходящего через интерфейс cipe ipchains -N $device"f" #удаляем все правила для этого потока (на всякий случай) ipchains -F $device"f" #разрешаем все пакеты, проходящие через интерфейс cipe из локальной сети в удаленную ipchains -A $device"f" -j ACCEPT -i $device -s $ipaddr/24 -d $ptpaddr/24 #разрешаем все пакеты, проходящие через интерфейс cipe из удаленной сети в локальную ipchains -A $device"f" -j ACCEPT -i $device -s $ptpaddr/24 -d $ipaddr/24 #запрещаем все остальные, проходящие через интерфейс cipe, пакеты; записываем это в журнал ipchains -A $device"f" -j DENY -s 0/0 -d 0/0 $log #-------------------------------------------------------------------------- #Для большей уверенности разрешаем ядру переадресацию пакетов /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #-------------------------------------------------------------------------- #добавляем в стандартные потоки правила со ссылками на пользовательские потоки ipchains -I input -i $device -j $device"i" ipchains -I output -i $device -j $device"o" ipchains -I forward -i $device -j $device"f" #-------------------------------------------------------------------------- #Дополнение к системе безопасности - в случае, если стандартное правило для #проходящего потока установлено в DENY или REJECT. #определяем интерфейсы машины #localif="eth0" #staticif="eth1" ;для пользователей кабельных модемов #staticif="ppp0" ;для пользователей обычных модемов #По-настоящему грубо определяем удаленный ip-адрес, взяв его из файла options. #В идеале этот адрес надо передавать скрипту через аргументы #Надо раскомментировать обе строки #peerfile=`grep $device /etc/cipe/options.* | cut -f1 -d:` #peer=`grep peer $peerfile | cut -f1 -d: | awk '{print $2}'` #Запоминаем удаленный ip-адрес для скрипта ip-down #echo $peer > /var/run/$device.peerip #разрешаем пересылку пакетов из локальной сети в удаленную, через сетевую карту #ipchains -I forward -j ACCEPT -i $localif -s $ipaddr/24 -d $ptpaddr/24 #разрешаем пересылку пакетов из удаленной сети в локальную, через сетевую карту #ipchains -I forward -j ACCEPT -i $localif -s $ptpaddr/24 -d $ipaddr/24 #разрешаем пересылку на интерфейсе staticif от этой системы к удаленной #myaddr=`echo $me | cut -f1 -d:` #ipchains -I forward -j ACCEPT -i $staticif -s $myaddr -d $peer #-------------------------------------------------------------------------- #Второе дополнение к системе безопасности - блокируем все запросы к udp-порту #cipe, кроме идущих от удаленной машины #необходимо определить udp-порты интерфейса cipe #получаем наш udp-порт #if [ "$option" = "" ]; then # myport=`echo $me | cut -f2 -d:` #else # myport=$option #fi #получаем удаленный udp-порт #переменная peerfile должна быть задана #peerport=`grep peer $peerfile | cut -f2 -d:` #запоминаем удаленный udp-порт cipe для скрипта ip-down #echo $peerport > /var/run/$device.peerport #получаем наш ip-адрес #myaddr=`echo $me | cut -f1 -d:` #запрещаем все запросы к udp-порту cipe; записываем это в журнал #ipchains -I input -j DENY -p udp -i $staticif -s 0/0 \ #-d $myaddr $myport $log #разрешаем все запросы к udp-порту cipe, идущие из интерфейса staticif, от удаленной машины #ipchains -I input -j ACCEPT -p udp -i $staticif -s $peer $peerport \ # -d $myaddr $myport #-------------------------------------------------------------------------- # Включаем в ядре в качестве дополнительной меры безопасности защиту от "spoofing"-а #-------------------------------------------------------------------------- #Зачем включать в ядре защиту от "spoofing"-а, если в этом скрипте эта #защита уже реализована, для каждого интерфейса на уровне firewall? #Предположим, что я параноик. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then echo -n "Включаем защиту от IP-spoofing..." iface="/proc/sys/net/ipv4/conf/$device/rp_filter" echo 1 > $iface echo "done." else echo "Невозможно включить в ядре защиту устройства $device от IP-spoofing" \ | mail -s"Предупреждение Системы Безопасности: $device" root exit 1 fi exit 0

/etc/cipe/ip-down

Ядро 2.0, ipfwadm, cipe 1.0.x

#!/bin/bash # ip-down <interface> <myaddr> <daemon-pid> <local> <remote> <arg> #3/29/1999 #Это пример скрипта ip-down для старых ядер версий 1.x 2.x, использующих ipfwadm, #удаляющий маршруты и правила firewall, заданные ранее для соединения вашей сети класса c #с удаленной сетью класса c. #Вопросы и предложения посылайте по адресу acj@home.com #-------------------------------------------------------------------------- #Настраиваем некоторые переменные device=$1 # Интерфейс CIPE me=$2 # Наш UDP-адрес pid=$3 # ID процесса демона ipaddr=$4 # IP-адрес нашего CIPE-устройства ptpaddr=$5 # IP-адрес удаленного CIPE-устройства option=$6 # аргументы, переданные через опции скрипта PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin" #рас(за)-комментируйте следующую строку для включение в системный журнал #всех попыток неавторизованного доступа. Эта строка должна соответствовать #строке в скрипте ip-up для правильного отключения правил. log="-o" #-------------------------------------------------------------------------- umask 022 # пример записи в журнал #echo "DOWN $*" >> /var/adm/cipe.log # во многих системах требуются такие pid-файлы #rm -f /var/run/$device.pid #-------------------------------------------------------------------------- #Правила для входящего потока firewall для интерфейса cipe #удаляем запрещение всех остальных входящих с интерфейса cipe пакетов ipfwadm -I -d deny -W $device -S 0/0 -D 0/0 $log #удаляем разрешение всех пакетов, входящих с интерфейса cipe из удаленной сети для локальной ipfwadm -I -d accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #удаляем разрешение всех пакетов, входящих с интерфейса cipe из локальной сети для удаленной ipfwadm -I -d accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #удаляем запрещение всех пакетов, входящих с интерфейса cipe из локальной сети для локальной ipfwadm -I -d deny -W $device -S $ipaddr/24 -D $ipaddr/24 $log #-------------------------------------------------------------------------- #Правила для исходящего потока firewall для интерфейса cipe #удаляем запрещение всех остальных, исходящих из интерфейса cipe, пакетов ipfwadm -O -d deny -W $device -S 0/0 -D 0/0 $log #удаляем разрешение всех пакетов, исходящих из интерфейса cipe, из удаленной сети для локальной ipfwadm -O -d accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #удаляем разрешение всех пакетов, исходящих из интерфейса cipe, из локальной сети для удаленной ipfwadm -O -d accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #удаляем запрещение всех пакетов, исходящих из интерфейса cipe, из локальной сети для локальной ipfwadm -O -d deny -W $device -S $ipaddr/24 -D $ipaddr/24 $log #-------------------------------------------------------------------------- #Правила для проходящего потока firewall для интерфейса cipe #удаляем запрещение всех остальных пакетов, проходящих через интерфейс cipe ipfwadm -F -d deny -W $device -S 0/0 -D 0/0 $log #удаляем разрешение всех пакетов, проходящих через интерфейс cipe, из удаленной сети для локальной ipfwadm -F -d accept -W $device -S $ptpaddr/24 -D $ipaddr/24 #удаляем разрешение всех пакетов, проходящих через интерфейс cipe, из локальной сети для удаленной ipfwadm -F -d accept -W $device -S $ipaddr/24 -D $ptpaddr/24 #-------------------------------------------------------------------------- #Дополнение к системе безопасности - в случае, если стандартное правило для #проходящего потока установлено в DENY или REJECT. #define machine interfaces #localif="eth0" #staticif="eth1" ;для пользователей кабельных модемов #staticif="ppp0" ;для пользователей обычных модемов #По-настоящему грубо определяем удаленный ip-адрес, взяв его из файла options. #В идеале этот адрес надо передавать скрипту через аргументы #Надо раскомментировать обе строки #peerfile=`grep $device /etc/cipe/options.* | cut -f1 -d:` #peer=`grep peer $peerfile | cut -f1 -d: | awk '{print $2}'` #Запоминаем удаленный ip-адрес для скрипта ip-down (???) #echo $peer > /var/run/$device.peerip #удаляем разрешение пересылки пакетов из локальной сети в удаленную, через сетевую карту #ipfwadm -F -d accept -W $localif -S $ipaddr/24 -D $ptpaddr/24 #удаляем разрешение пересылки пакетов из удаленной сети в локальную, через сетевую карту #ipfwadm -F -d accept -W $localif -S $ptpaddr/24 -D $ipaddr/24 #удаляем разрешение пересылки пакетов через интерфейс staticif от этой системы к удаленной #myaddr=`echo $me | cut -f1 -d:` #ipfwadm -F -d accept -W $staticif -S $myaddr -D $peer #-------------------------------------------------------------------------- #Второе дополнение к системе безопасности - блокируем все запросы к udp-порту #cipe, кроме идущих от удаленной машины #необходимо определить udp-порты интерфейса cipe #получаем наш udp-порт #if [ "$option" = "" ]; then # myport=`echo $me | cut -f2 -d:` #else # myport=$option #fi #получаем удаленный udp-порт #переменная peerfile должна быть задана #peerport=`grep peer $peerfile | cut -f2 -d:` #запоминаем удаленный udp-порт cipe для скрипта ip-down (???) #echo $peerport > /var/run/$device.peerport #получаем наш ip-адрес #myaddr=`echo $me | cut -f1 -d:` #удаляем запрещение всех запросов к udp-порту cipe #ipfwadm -I -d deny -P udp -W $staticif -S 0/0 -D $myaddr $myport $log #удаляем разрешение всех запросов к udp-порту cipe, идущих из интерфейса staticif, от удаленной машины #ipfwadm -I -d accept -P udp -W $staticif -S $peer $peerport \ #-D $myaddr $myport exit 0

Ядро 2.1/2.2, ipchains, cipe 1.2.x

#!/bin/sh # ip-down <interface> <myaddr> <daemon-pid> <local> <remote> <arg> #3/29/1999 #Это пример скрипта ip-down для новых ядер версий 2.1/2.2, использующих ipchains, #удаляющий маршруты и правила firewall, заданные ранее для соединения вашей сети класса c #с удаленной сетью класса c. #Вопросы и предложения посылайте по адресу acj@home.com. #-------------------------------------------------------------------------- #Настраиваем некоторые переменные device=$1 # Интерфейс CIPE me=$2 # Наш UDP-адрес pid=$3 # ID процесса демона ipaddr=$4 # IP-адрес нашего CIPE-устройства ptpaddr=$5 # IP-адрес удаленного CIPE-устройства option=$6 # аргументы, переданные через опции скрипта PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin" #рас(за)-комментируйте следующую строку для включение в системный журнал #всех попыток неавторизованного доступа. Эта строка должна соответствовать #строке в скрипте ip-up для правильного отключения правил. log="-l" #-------------------------------------------------------------------------- umask 022 # пример записи в журнал #echo "DOWN $*" >> /var/adm/cipe.log # во многих системах требуются такие pid-файлы #rm -f /var/run/$device.pid #-------------------------------------------------------------------------- #удаляем с главных потоков ссылки на пользовательские ipchains -D input -i $device -j $device"i" ipchains -D output -i $device -j $device"o" ipchains -D forward -i $device -j $device"f" #-------------------------------------------------------------------------- #Удаляем все правила из пользовательского входящего потока ipchains -F $device"i" #Удаляем пользовательский входящий поток ipchains -X $device"i" #-------------------------------------------------------------------------- #Удаляем все правила из пользовательского исходящего потока ipchains -F $device"o" #Удаляем пользовательский исходящий поток ipchains -X $device"o" #-------------------------------------------------------------------------- #Удаляем все правила из пользовательского проходящего потока ipchains -F $device"f" #Удаляем пользовательский проходящий поток ipchains -X $device"f" #-------------------------------------------------------------------------- #Удаляем дополнительные меры безопасности #получаем ip-адрес удаленной машины #peer=`cat /var/run/$device.peerip` #определяем интерфейсы машины #localif="eth0" #staticif="eth1" ;для пользователей кабельных модемов #staticif="ppp0" ;для пользователей обычных модемов #получаем наш ip-адрес #myaddr=`echo $me |cut -f1 -d:` #удаляем разрешение пересылки пакетов из локальной сети в удаленную, через сетевую карту #ipchains -D forward -j ACCEPT -i $localif -s $ipaddr/24 -d $ptpaddr/24 #удаляем разрешение пересылки пакетов из удаленной сети в локальную, через сетевую карту #ipchains -D forward -j ACCEPT -i $localif -s $ptpaddr/24 -d $ipaddr/24 #удаляем разрешение пересылки пакетов через интерфейс staticif от этой системы к удаленной #ipchains -D forward -j ACCEPT -i $staticif -s $myaddr -d $peer #удаляем файл с запомненным удаленным ip-адресом #rm /var/run/$device.peerip #-------------------------------------------------------------------------- #Удаляем дополнительные меры безопасности #получаем удаленный udp-порт #peerport=`cat /var/run/$device.peerport` #получаем наш udp-порт #if [ "$option" = "" ]; then # myport=`echo $me | cut -f2 -d:` #else # myport=$option #fi #удаляем запрещение всех запросов к udp-порту cipe #ipchains -D input -j DENY -p udp -i $staticif -s 0/0 \ #-d $myaddr $myport $log #удаляем разрешение всех запросов к udp-порту cipe, идущих из интерфейса staticif, от удаленной машины #ipchains -D input -j ACCEPT -p udp -i $staticif -s $peer $peerport \ #-d $myaddr $myport #удаляем файл с запомненным удаленным ip-адресом #rm /var/run/$device.peerport #-------------------------------------------------------------------------- exit 0

Пред.	Начало	След.
Конфигурация машины C		Примеры скриптов настройки маскарадинга