форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw: доступ в мир избранным"
Сообщение от Siberian_Cat on 12-Янв-04, 11:09  (MSK)
Стоит и работает себе спокойненько ipfw под FreeBSD 4.9 В rc.firewall прописано следующее: ....................................... # Разрешаем пакеты по внутренней сетке ${fwcmd} add 100 pass all from any to any via $(внутренний_интерфейс) # http заворачиваем на локальный прокси ${fwcmd} add 200 fwd 127.0.0.1,3128 from 192.168.0.0/24 to any http # транслируем внутренние адреса ${fwcmd} add 300 divert natd ip from 192.168.0.0/24 to any out via ${внешний_интерфейс} ${fwcmd} add 400 divert natd ip from any to ${внешний_IP} in via ${внешний_интерфейс} # прописываем правила прохождения пакетов ${fwcmd} add 500 pass tcp from any to any 20,21,23,25,80,110,443 via ${внешний_интерфейс} ${fwcmd} add 510 pass tcp from any 20,21,23,25,80,110,443 to any via ${внешний_интерфейс} # запрещаем все остальное ${fwcmd} add 1000 deny all from any to any И все бы было нормально, если бы не возникла необходимость с одного компьютера ходить куда угодно, т.е. безо всяких ограничений. IP-адрес этого компьютера во внутренней сети 192.168.0.7. Я, недолго думая, прописал правила ${fwcmd} add 520 pass from 192.168.0.7 to any ${fwcmd} add 530 pass from any to 192.168.0.7 и получил большой шиш! Куда бы я ни запихнул эти правила, ничего не меняется: компьютер 192.168.0.7 работает по общим правилам - куда всей внутренней сетке разрешено ходить - туда ходит, куда не разрешено - туда, ессно, не ходит. Я и перед divert'ом ставил, и после - ничего не вышло. Подскажите, как надо расположить эти правила для одного локального комьютера в rc.firewall Заранее thanx!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw: доступ в мир избранным"
Сообщение от СергейКа on 12-Янв-04, 12:14  (MSK)
А ничего и не получится :) (если использовать только разрешения) Надо, чтобы пакеты с 192.168.0.7 не форвардились на squid, но натировались на внешний интерфейс. Кстати. один совет касаемо "pass from 192.168.0.7 to any" Разрешай, только те порты по которым работаешь. От троянов никто не застрахован :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ipfw: доступ в мир избранным"
	Сообщение от Siberian_Cat on 12-Янв-04, 13:42  (MSK)
	>Надо, чтобы пакеты с 192.168.0.7 не форвардились на squid, но натировались на >внешний интерфейс. В связке со squid'ом работает squidGuard, а там всякие ограничения хождения по сайтам. Если товарищ будет ходить в инет по http, то у него все ограничения махом слетают... это во-первых. А во-вторых, я размещал правила для 192.168.0.7 и перед форвардом на сквид, используя skipto, но реакция та же... :-( Оттого-то и отчаялся - кинулся в кофну. > >Кстати. один совет касаемо "pass from 192.168.0.7 to any" > >Разрешай, только те порты по которым работаешь. >От троянов никто не застрахован :) Это понятно. Просто чтобы не забивать место я написал "pass from 192.168.0.7 to any". В оригинале там так: pass from 192.168.0.7 to any 20,21,22,25,110,443,5500,5501,10700... Если могёшь - укажи, что конкретно сделать... :-) thanx...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ipfw: доступ в мир избранным"
	Сообщение от СергейКа on 12-Янв-04, 16:17  (MSK)
	>>Надо, чтобы пакеты с 192.168.0.7 не форвардились на squid, но натировались на >>внешний интерфейс. > >В связке со squid'ом работает squidGuard, а там всякие ограничения хождения >по сайтам. Если товарищ будет ходить в инет по http, то у >него все >ограничения махом слетают... это во-первых. > >А во-вторых, я размещал правила для 192.168.0.7 и перед форвардом на сквид, > >используя skipto, но реакция та же... :-( Оттого-то и отчаялся - кинулся > >в кофну. > >> >>Кстати. один совет касаемо "pass from 192.168.0.7 to any" >> >>Разрешай, только те порты по которым работаешь. >>От троянов никто не застрахован :) > >Это понятно. Просто чтобы не забивать место я написал "pass from 192.168.0.7 >to any". >В оригинале там так: >pass from 192.168.0.7 to any 20,21,22,25,110,443,5500,5501,10700... > >Если могёшь - укажи, что конкретно сделать... :-) >thanx... add 200 fwd 127.0.0.1,3128 from 192.168.0.1-192.168.0.6 to any http add 200 fwd 127.0.0.1,3128 from 192.168.0.8-192.168.0.254 to any http
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw: доступ в мир избранным"
Сообщение от A Clockwork Orange on 12-Янв-04, 12:26  (MSK)
Твое правило не работает так как первое правило "перебивает" его.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "ipfw: доступ в мир избранным"
	Сообщение от СергейКа on 13-Янв-04, 12:50  (MSK)
	>Твое правило не работает так как первое правило "перебивает" его. Нет практики :) Возможно надо одним правилом с использованием "and" Опять же конкретно написать не могу :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw: доступ в мир избранным"
Сообщение от magr on 12-Янв-04, 16:22  (MSK)
Логика прихрамывает, если адрес 192.168.0.7 должен ходить наружу куда угодно. С внешнего интерфейса он уже уходит оттранслированным (natd поработал). У тебя нет разрешающего правила ходить куда угодно для внешнего IP - поэтому и не работает. P.S. Если разрешишь внешнему IP ходить куда угодно, столкнешься с тем что все адреса внутренней сети тоже станут бесконтрольно иметь доступ в инет. Надо переработать логику, внедрить запрещающие правила - разбери типовые примеры в rc.firewall
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "ipfw: доступ в мир избранным"
	Сообщение от СергейКа on 13-Янв-04, 12:55  (MSK)
	>Логика прихрамывает, если адрес 192.168.0.7 должен ходить наружу куда угодно. С внешнего >интерфейса он уже уходит оттранслированным (natd поработал). У тебя нет разрешающего >правила ходить куда угодно для внешнего IP - поэтому и не >работает. > >P.S. Если разрешишь внешнему IP ходить куда угодно, столкнешься с тем что >все адреса внутренней сети тоже станут бесконтрольно иметь доступ в инет. >Надо переработать логику, внедрить запрещающие правила - разбери типовые примеры в >rc.firewall Да ему и не надо ходить куда угодно - смотри выше. Он хочет не заворачиватся на squid, а идти напрямую 80,8001... (http) Я у себя решил этот вопрос путем блокирования http на внутренем интерфейсе для всех кроме избранных, а пользователям в браузерах проставил "использовать прокси". Конечно с форвардом красивее, да и менее накладно, когда юзеров много, но так тоже работает :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "ipfw: доступ в мир избранным"
	Сообщение от СергейКа on 13-Янв-04, 12:59  (MSK)
	Попробуй так. add 200 fwd 127.0.0.1,3128 from 192.168.0.0/24 not 192.168.0.7 to any http Если не поможет попробуй взять в фигурные скобки (для ipfw2 это работает)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.