правила IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

правила IPFW

Непрочитанное сообщение sevalex77 » 2006-10-12 9:22:59

Как составить правила IPFW чтобы запретить пользователям LAN все, кроме SQUID. То есть чтобы не могли подключаться к ICQ и забирать почту используя Outlook и других почтовых клиентов???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-12 9:29:39

Ответ на дословный вопрос:

Код: Выделить всё

ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup 
ipfw add tcp from any to any established
deny ip from any to any
но ввиду того, что прос не коорректен, правильно будет так

Код: Выделить всё

ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup 
ipfw add tcp from any to any established
ipfw add allow ip from me to any
ipfw add deny ip from any to any
Убей их всех! Бог потом рассортирует...

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 9:34:56

а полный конфиг на примере твоего firewall.conf, который в статье только с этими правилами можно?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-12 9:36:36

а я и привёл пример полного конфига.
Если тока сквид - то всякие nat`ы тебе не нужны.
Почты, судя по всему нет.
Для данных тобой условий - это полный конфиг. Запрещенов сё кроме сквида.
С одним дополнением - сквиду тоже надо лазит в инет, поэтому на одно правило больше :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 9:42:28

почта есть, nat тоже есть. Надо запретить icq и все остальное.

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 10:11:54

a Squid разрешить так add allow ip from 192.168.4.10/24 to any?

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-10-12 10:46:26

ICQ вполне можно и через Сквид настроить...
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-10-12 11:02:15

Urgor писал(а):ICQ вполне можно и через Сквид настроить...
Угу, у меня ICQ 2003b сама создала настройки под прокси (У меня прокси прозрачный) и работает.. Я аж упал.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 11:38:45

а конфиг можно или ссылку как настроить

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-10-12 13:57:36

sevalex77 писал(а):а конфиг можно или ссылку как настроить
ты определись что тебе надо
есть цель - действуй! инициатива друг мой!

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 14:07:59

мне нужно настроить фаер таким образом, чтобы пользователи локальной сети могли использовать прокси сервер и ничего больше. ICQ и прием почты со всяких яндексов, майлов запретить, а чтобы своя почта ходила как внутри так и наружу. Так же должен работать NAT. Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-10-12 14:21:40

Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 14:31:40

а причем тут squid я про фаер спрашивал и его настройку

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 15:06:34

А как разрешить Nat только для определенных адресов???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-12 15:07:52

правилами файрвола..
второй файрволл в примерах на сайте...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 15:19:30

# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.151 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.153 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.154 to not ${NetIn} in via ${LanIn} setup

А вот это зачем?
Есть же # Отправляем всех на squid

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

Или это для того чтобы указанные адреса ходили мимо прокси?

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-10-12 15:21:22

sevalex77 писал(а):
а причем тут squid я про фаер спрашивал и его настройку
sevalex77 писал(а):Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.
1. ICQ может работать и через Сквид, нат ей не особо нужен.
2. У майла, яндекса и прочих есть вебморда для почты. Невозможность забрать/отправить почту батом/мозиллой не сильно опечалит пользоваталя.
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-12 15:24:15

иначе не выпустит
Убей их всех! Бог потом рассортирует...

Аватара пользователя
sevalex77
сержант
Сообщения: 163
Зарегистрирован: 2006-08-18 12:56:56
Откуда: Ульяновск
Контактная информация:

Непрочитанное сообщение sevalex77 » 2006-10-12 15:27:30

Не выпустит даже если идет все через SQUID?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-12 15:28:41

если фаер второй - то нет.
Убей их всех! Бог потом рассортирует...