ipf的规则?

i2era

在man中

1. 
   
2. IP addresses may be specified in one of        two  ways:  as        a
   
3.        numerical  address/mask,  or  as  a hostname mask netmask.
   
4.        The hostname may either be a valid hostname,  from  either
   
5.        the hosts file or DNS (depending on your configuration and
   
6.        library) or of the dotted numeric form.        There is no  spe-
   
7.        cial designation for networks but network names are recog-
   
8.        nised.  Note that having your filter rules depend  on  DNS
   
9.        results can introduce an avenue of attack, and is discour-
   
10.        aged.
    
11. 
    
12.        There is a special case for  the  hostname  any        which  is
    
13.        taken  to  be  0.0.0.0/0  (see  below for mask syntax) and
    
14.        matches all IP addresses.  Only the presence of "any"  has
    
15.        an  implied mask, in all other situations, a hostname MUST
    
16.        be accompanied by a mask.  It is possible to give "any"        a
    
17.        hostmask,  but in the context of this language, it is non-
    
18.        sensical.
    
19. 
    
20.        The numerical format "x/y" indicates that a mask of y con-
    
21.        secutive  1  bits set is generated, starting with the MSB,
    
22.        so a y value of 16 would give 0xffff0000. The symbolic  "x
    
23.        mask y" indicates that the mask y is in dotted IP notation
    
24.        or a hexadecimal number of the form 0x12345678.        Note that
    
25.        all  the  bits  of the IP address indicated by the bitmask
    
26.        must match the address on the packet exactly; there  isn't
    
27.        currently  a  way  to invert the sense of the match, or to
    
28.        match ranges of IP addresses which do  not  express  them-
    
29.        selves  easily as bitmasks (anthropomorphization; it's not
    
30.        just for breakfast anymore).
    

复制代码

   
address/mask  or  hostname mask netmask
作用应该是一样的，但是它们指的是子网 还是ip?

红袖添香

...

192.168.2.8/29 这种写法只能指是 subnet

在 route add ... 中也是
如果有 /29，它会自动视为 route add -net ...
不然就是 route add -host ...

i2era

原帖由 "红袖添香" 发表：
...

192.168.2.8/29 这种写法只能指是 subnet

在 route add ... 中也是
如果有 /29，它会自动视为 route add -net ...
不然就是 route add -host ...

   
有时不一定
如
#ifconfig rl0 192.168.2.8/29

i2era

原帖由 "红袖添香" 发表：
...
192.168.2.8/29 这种写法只能指是 subnet
...

我觉的在ipf(5)中应该也是指    subnet
指单个ip应该是192.168.2.8/32

那么
怎么会出现：

1. 
   
2. #cat /etc/ipf.conf
   
3. block in quick on rl1 proto tcp from 192.168.1.0/24 to any port = 1755
   
4. 如果把其中的“192.168.1.0/24” 改为
   
5. “192.168.1.8/x" (x<29)
   
6. 然后ipf -Fa;ipf -FS;ipf -f /etc/ipf.conf
   
7. 再用ipfstat -hio
   
8. 看时显示的是：
   
9. 192.168.1.0/x
   
10. 
    
11. 但是如果改为
    
12. "192.168.1.8/y"(y≥29)
    
13. 然后ipf -Fa;ipf -FS;ipf -f /etc/ipf.conf
    
14. 再用ipfstat -hio
    
15. 看时显示的是：
    
16. 192.168.1.8/y
    
17. 
    

复制代码

红袖添香

原帖由 "i2era" 发表：
有时不一定
如
#ifconfig rl0 192.168.2.8/29

   

呵呵，可是这中里不会有歧义， rl0 代表整个子网？~~  hoho~~~

红袖添香

原帖由 "i2era" 发表：
#cat /etc/ipf.conf
block in quick on rl1 proto tcp from 192.168.1.0/24 to any port = 1755
如果把其中的“192.168.1.0/24” 改为
“192.168.1.8/x" (x<29)
然后ipf -Fa;ipf -FS;ipf -f /etc/ipf.conf
再用ipfstat -hio
看时显示的是：
192.168.1.0/x

但是如果改为
"192.168.1.8/y"(y≥29)
然后ipf -Fa;ipf -FS;ipf -f /etc/ipf.conf
再用ipfstat -hio
看时显示的是：
192.168.1.8/y

   

这个不奇怪呀，192.168.1.8 是广播号，就跟我们用 192.168.1.0 作 /24 的广播号一样。。。

i2era

原帖由 "红袖添香" 发表：
   

这个不奇怪呀，192.168.1.8 是广播号，就跟我们用 192.168.1.0 作 /24 的广播号一样。。。

   
如果指的是subnet
那8应该是网络号，就像192.168.1.0/24
的网络号为0一样
广播号是子网ip中最大的
如子网 192.168.1.0/24的broadcast为192.168.1.255

红袖添香

原帖由 "i2era" 发表：
   
如果指的是subnet
那8应该是网络号，就像192.168.1.0/24
的网络号为0一样
广播号是子网ip中最大的
如子网 192.168.1.0/24的broadcast为192.168.1.255

晕~~~~，写错了，

应该是网络号，网络号是最小的。广播号是最大的。

i2era

原帖由 "红袖添香" 发表：
   

这个不奇怪呀，

那192.168.1.8/25和192.168.1.0/25
是一样的？
肯定不一样啊

红袖添香

原帖由 "i2era" 发表：

那192.168.1.8/25和192.168.1.0/25
是一样的？
肯定不一样啊

   

应该是一样的，但是跟 192.168.1.128/25 不一样