правила IPFW

[sevalex77]

Как составить правила IPFW чтобы запретить пользователям LAN все, кроме SQUID. То есть чтобы не могли подключаться к ICQ и забирать почту используя Outlook и других почтовых клиентов???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

Ответ на дословный вопрос:

Код: Выделить всё

ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup 
ipfw add tcp from any to any established
deny ip from any to any

но ввиду того, что прос не коорректен, правильно будет так

Код: Выделить всё

ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup 
ipfw add tcp from any to any established
ipfw add allow ip from me to any
ipfw add deny ip from any to any

[sevalex77]

а полный конфиг на примере твоего firewall.conf, который в статье только с этими правилами можно?

[Alex Keda]

а я и привёл пример полного конфига.
Если тока сквид - то всякие nat`ы тебе не нужны.
Почты, судя по всему нет.
Для данных тобой условий - это полный конфиг. Запрещенов сё кроме сквида.
С одним дополнением - сквиду тоже надо лазит в инет, поэтому на одно правило больше ))

[sevalex77]

почта есть, nat тоже есть. Надо запретить icq и все остальное.

[sevalex77]

a Squid разрешить так add allow ip from 192.168.4.10/24 to any?

[Urgor]

ICQ вполне можно и через Сквид настроить...

[dikens3]

ICQ вполне можно и через Сквид настроить...

Угу, у меня ICQ 2003b сама создала настройки под прокси (У меня прокси прозрачный) и работает.. Я аж упал.

[sevalex77]

а конфиг можно или ссылку как настроить

[northern]

а конфиг можно или ссылку как настроить

ты определись что тебе надо

[sevalex77]

мне нужно настроить фаер таким образом, чтобы пользователи локальной сети могли использовать прокси сервер и ничего больше. ICQ и прием почты со всяких яндексов, майлов запретить, а чтобы своя почта ходила как внутри так и наружу. Так же должен работать NAT. Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.

[Urgor]

http://www.visolve.com/squid/squid24s1/ ... ls.php#acl

[sevalex77]

http://www.visolve.com/squid/squid24s1/ ... ls.php#acl

а причем тут squid я про фаер спрашивал и его настройку

[sevalex77]

А как разрешить Nat только для определенных адресов???

[Alex Keda]

правилами файрвола..
второй файрволл в примерах на сайте...

[sevalex77]

# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.151 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.153 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.154 to not ${NetIn} in via ${LanIn} setup

А вот это зачем?
Есть же # Отправляем всех на squid

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

Или это для того чтобы указанные адреса ходили мимо прокси?

[Urgor]

http://www.visolve.com/squid/squid24s1/ ... ls.php#acl

а причем тут squid я про фаер спрашивал и его настройку

Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.

1. ICQ может работать и через Сквид, нат ей не особо нужен.
2. У майла, яндекса и прочих есть вебморда для почты. Невозможность забрать/отправить почту батом/мозиллой не сильно опечалит пользоваталя.

[Alex Keda]

иначе не выпустит

[sevalex77]

Не выпустит даже если идет все через SQUID?

[Alex Keda]

если фаер второй - то нет.