https://www.opennet.ru/openforum/vsluhforumID1/77149.html aip="192.168.2.2"<br>bip="192.168.2.59"<br>dip="192.168.2.62"<br><br>add allow all from any to ${aip} via ${natd_interface}<br>add allow all from any to ${bip} via ${natd_interface}<br>add allow all from any to ${dip} via ${natd_interface}<br><br>эти строки разрешают трём компам лезть в инет в обход прокси, напрямую. ну, клиент-банк и всё такое...<br>если комп долго не включают - IP меняется, блин.<br>как указать в этих правилах MAC-адреса чтобы, как говориться, железно было?<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#24 Tue, 17 Mar 2009 16:41:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Это именно то что вам не хватает. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;А КАК ЕГО ПОСТАВИТЬ В "1" ? <br>&gt;&gt;<br>&gt;&gt;:-) <br>&gt;&gt;<br>&gt;&gt;sysctl net.link.ether.ipfw=1 <br>&gt;<br>&gt;А что будет после перезагрузки? Сбросится в ноль? <br><br>Тема старая ну не удержался...<br><br>ee /etc/sysctl.conf<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#23 Wed, 16 Jan 2008 14:44:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Это именно то что вам не хватает. <br>&gt;&gt;<br>&gt;&gt;А КАК ЕГО ПОСТАВИТЬ В "1" ? <br>&gt;<br>&gt;:-) <br>&gt;<br>&gt;sysctl net.link.ether.ipfw=1 <br><br>А что будет после перезагрузки? Сбросится в ноль?<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#22 Wed, 07 Nov 2007 15:00:43 GMT &gt;&gt;Товарищ зачинщик темы, обратите внимание на пост <br>&gt;&gt;<br>&gt;&gt;&gt;net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам <br>&gt;&gt;<br>&gt;&gt;Это именно то что вам не хватает. <br>&gt;<br>&gt;А КАК ЕГО ПОСТАВИТЬ В "1" ? <br><br>:-)<br><br>sysctl net.link.ether.ipfw=1<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#21 Wed, 07 Nov 2007 14:54:34 GMT &gt;Товарищ зачинщик темы, обратите внимание на пост <br>&gt;<br>&gt;&gt;net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам <br>&gt;<br>&gt;Это именно то что вам не хватает. <br><br>А КАК ЕГО ПОСТАВИТЬ В "1" ?<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#20 Tue, 06 Nov 2007 13:13:20 GMT Товарищ зачинщик темы, обратите внимание на пост <br><br>&gt;net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам <br><br>Это именно то что вам не хватает.<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#19 Tue, 06 Nov 2007 13:08:43 GMT &gt;[оверквотинг удален]<br>&gt;... <br>&gt;${fwcmd} add pass udp from ${oip} to any 53 keep-state <br>&gt;${fwcmd} add ... всякие ntp и т.п. <br>&gt;${fwcmd} add ... всякие icmp <br>&gt;... <br>&gt;${fwcmd} add deny log ip from any to any <br>&gt;65535 deny ip from any to any <br>&gt;<br>&gt;Типа того. Коли Вы что-то вычеркнули, то и добавьте. <br>&gt;Про переменные ядра не забудьте. <br><br>всё что вы написали - всё это имеется, я просто не стал тут расписывать в подробностях свой rc.firewall<br>переменныая ядра что-то типа "РАЗРЕШИТЬ_ВСЁ"<br> https://www.opennet.ru/openforum/vsluhforumID1/77149.html#18 Tue, 06 Nov 2007 11:36:47 GMT &gt;вот, но я вычеркнул конкретные правила, например доступ к 80 порту, доступ <br>&gt;к 21 порту... <br><br>Посмотрите на "классику жанра" в /etc/rc.firewall , раздел simple .<br><br>internal="rl0" # ? ваш внутренний интерфейс<br>oip="192.168.2.1" # ? ваш ip на внутреннем интерсейсе <br>proxy="aaa.bbb.ccc.ddd" # ip вашего проху<br><br>amac="00:13:72:75:7A:26"<br>bmac="00:0d:87:fe:e3:40"<br>dmac="00:50:8d:a4:7f:78"<br><br>${fwcmd} add allow ip from any to any via lo0 <br>${fwcmd} add deny log logamount 100 ip from any to 127.0.0.0/8 <br>${fwcmd} add deny log logamount 100 ip from 127.0.0.0/8 to any <br><br>${fwcmd} add deny ip from any to 10.0.0.0/8 via bge0 <br>${fwcmd} add deny ip from any to 172.16.0.0/12 via bge0 <br>${fwcmd} add deny ip from any to 192.168.0.0/16 via bge0 <br>${fwcmd} add deny ip from any to 0.0.0.0/8 via bge0 <br>${fwcmd} add deny ip from any to 169.254.0.0/16 via bge0 <br>${fwcmd} add deny ip from any to 192.0.2.0/24 via bge0 <br>${fwcmd} add deny ip from any to 224.0.0.0/4 via bge0 <br>${fwcmd} add deny ip from any to 24 https://www.opennet.ru/openforum/vsluhforumID1/77149.html#17 Tue, 06 Nov 2007 10:40:29 GMT вот, но я вычеркнул конкретные правила, например доступ к 80 порту, доступ к 21 порту...<br><br># ipfw show<br>00100 163424 79295602 allow ip from any to any via lo0<br>00200 0 0 deny log logamount 100 ip from any to 127.0.0.0/8<br>00300 0 0 deny log logamount 100 ip from 127.0.0.0/8 to any<br>00400 0 0 deny ip from 192.168.2.0/24 to any in via bge0<br>00500 0 0 deny ip from 194.***.***.0/24 to any in via rl0<br>00600 58 4524 deny ip from any to 10.0.0.0/8 via bge0<br>00700 0 0 deny ip from any to 172.16.0.0/12 via bge0<br>00800 8680 901683 deny ip from any to 192.168.0.0/16 via bge0<br>00900 0 0 deny ip from any to 0.0.0.0/8 via bge0<br>01000 0 0 deny ip from any to 169.254.0.0/16 via bge0<br>01100 0 0 deny ip from any to 192.0.2.0/24 via bge0<br>01200 0 0 deny ip from any to 224.0.0.0/4 via bge0<br>01300 251 102425 deny ip from any to 240.0.0.0/4 via bge0<br>01400 230498 98865982 divert 8668 ip from an https://www.opennet.ru/openforum/vsluhforumID1/77149.html#16 Tue, 06 Nov 2007 09:03:38 GMT &gt;&gt;internal="fxp1" <br>&gt;&gt;${internal} - подстановка в sh . Конечно, внутренний интерфейс по контексту. <br>&gt;&gt;<br>&gt;<br>&gt;Ну вообщем, не получилось и не получается... <br><br>ipfw show в студию.<br>Посмотрите также переменные ядра от раннего поста.<br><br>