ipfw подправить правила

[Spook1680]

Были времена ) когда всем можно было выходить в инет
Но лафа закончилась)
типа надо некоторым челам 80 порт закрыть.
Привожу кусок конфига немогу понять где дырка в правилах .
Мне к рпимеру надо закрыть пользователя 192.168.0.23 80 порт

Код: Выделить всё

oif="stge0"
onet="91/28"
oip="91"
####
iif="nfe0"
inet="192.168.0.0/24"
iip="192.168.0.1"

${fwcmd} add 10 allow ip from any to any via lo0

${fwcmd} add 400 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via ${oif}
### NATD
${fwcmd} add 500 divert natd all from ${inet} to any out via ${oif}
${fwcmd} add 800 divert natd all from any to ${oip} in via ${oif}

${fwcmd} add 900 allow tcp from any to any established
## 
${fwcmd} add 1000 allow ip from ${oip} to any out xmit ${oif}
##
${fwcmd} add 1100 allow udp from any 53 to any via ${oif}
##
${fwcmd} add 1200 allow udp from any to any 53 via ${oif}
Пробую закрыть у пользователя 80 тут
[b]${fwcmd} add 1210 deny tcp from any to 192.168.0.23 80
${fwcmd} add 1220 deny tcp from 192.168.0.23 80 to any[/b]

${fwcmd} add 1380 allow ip from any 20 to any via ${oif}
${fwcmd} add 1381 allow ip from any to any 20 via ${oif}
${fwcmd} add 1382 allow ip from any 21 to any via ${oif}
${fwcmd} add 1383 allow ip from any to any 21 via ${oif}

##FTP
${fwcmd} add 1400 allow tcp from any to ${oip} 20 via ${oif}
${fwcmd} add 1500 allow tcp from any to ${oip} 49152-65535 via ${oif}
### ICMP
${fwcmd} add 1600 allow icmp from any to any icmptypes 0,8,11

${fwcmd} add 1900 allow tcp from any to ${oip} 143 via ${oif}
${fwcmd} add 2000 allow tcp from any to ${oip} 110 via ${oif}

${fwcmd} add 2300 allow tcp from any to any via ${iif}
${fwcmd} add 2400 allow udp from any to any via ${iif}
${fwcmd} add 2500 allow icmp from any to any via ${iif}

${fwcmd} add 2800 deny log ip from any to any

Насколько в теме вся проблема в правиле 2300
все дует через него.
Вопрос как безболезнено подправить что бы начальство яйца не оторвало
(ipfw вкомпилин в ядрышко и по умолчанию все что не разрешено запрещено)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[daggerok]

Пробую закрыть у пользователя 80 тут
${fwcmd} add 1210 deny tcp from any to 192.168.0.23 80
${fwcmd} add 1220 deny tcp from 192.168.0.23 80 to any

не прально пробуешь.

Код: Выделить всё

ipfw add deny tcp from any 80 to 192.168.0.23
ipfw add deny tcp from 192.168.0.23 to any 80

или

Код: Выделить всё

# создай таблицу ip, которым надо будет закрыть 80 порт:
ipfw table 1 add 192.168.0.23/32
ipfw table 1 add 192.168.0.24/32
# и укажи одно правило для всех ip-ов
ipfw add deny tcp from any 80 to "table(1)"
ipfw add deny tcp from "table(1)" to any 80

но лучше для этих целей юзать прокси.

[Spook1680]

спасибо огромное, ошибку понял).