ipfw

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kuraltay-khan
проходил мимо
Сообщения: 8
Зарегистрирован: 2013-03-22 11:13:14
Откуда: Барнаул
Контактная информация:

ipfw

Непрочитанное сообщение kuraltay-khan » 2013-03-22 13:18:56

...доброго времени суток! Я начинающий во FreeBSD - нужна помощь. Маны читал, но не всё понятно, поэтому и обращаюсь сюда. Ситуация такая: у меня поднята FreeBSD v8.0 для раздачи интернета в конторе, дирекция и бухгалтерия ходили напрямую через фрю, а остальной персонал через виндовый прокси UserGate (не спорю, что завёрнут геморрой сетевой, но так стояла задача от администрации) - сейчас хочу полностью отказаться от виндового прокси, но не знаю с чего начать. Для начала мне надо закрыть некоторым машинам выход на определённые сайты (есть несколько челов, которые идут в обход UserGate для посещения определённых сайтов - поэтому и возник сам вопрос). Если я правильно понимаю, то делаю так добавляя правила в IPFW: /sbin/ipfw add 1111 deny ip from amic.ru to 192.168.200.149 - то есть я прикрываю сайт amic.ru для ПК с адресом 192.168.200.149 - вроде как работает. Вопрос в том, что есть ли возможность сделать файл запрещённых адресов сайтов, который периодически будет пополняться, который можно было бы применять к одному ПК или к целой группе ПК. Если да, то как это реализовать...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: ipfw

Непрочитанное сообщение FreeBSP » 2013-03-22 14:29:12

смотри в сторону таблиц
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

chipset
мл. сержант
Сообщения: 113
Зарегистрирован: 2012-05-12 11:24:30

Re: ipfw

Непрочитанное сообщение chipset » 2013-03-23 6:56:52

ipfw table в которую потом будешь добавлять IP ну и правило одно для этой таблицы. Писать для каждого пользователя правило фаервола не к чему. Групируй их по таблицам.
Тут http://wiki.slavka.kiev.ua/index.php/%D ... D1%8B_ipfw почитай о них там есть все что тебе нужно.

kuraltay-khan
проходил мимо
Сообщения: 8
Зарегистрирован: 2013-03-22 11:13:14
Откуда: Барнаул
Контактная информация:

Re: ipfw

Непрочитанное сообщение kuraltay-khan » 2013-03-24 11:09:23

...для тех кто в танке прошу уточнения в правильности понимания вопроса:

создаю таблицу для закрытия сайтов drom.ru 89.188.112.203 89.188.112.234 и amic.ru 83.246.133.15:

Код: Выделить всё

ipfw table 1 add 89.188.112.203
ipfw table 1 add 89.188.112.234
ipfw table 1 add 83.246.133.15
проверяю командой наличие данных IP в таблице:

Код: Выделить всё

ipfw table 1 list
в итоге получаю:

Код: Выделить всё

89.188.112.203\32 0
89.188.112.234\32 0
83.246.133.15\32 0
произвожу применение данной таблицы в ipfw командой для ПК с адресом 192.168.200.149:

Код: Выделить всё

ipfw add deny ip from table \(1)\ to 192.168.200.149
...и на экране вижу: Sytax error: ")"

...подскажите - где пролажался? И можно как-то сделать такого типа применения для группы внутренних ip адресов, к примеру: 192.168.200.50-192.168.200.200, если да, то как. Заранее благодарю за ответ...

kuraltay-khan
проходил мимо
Сообщения: 8
Зарегистрирован: 2013-03-22 11:13:14
Откуда: Барнаул
Контактная информация:

Re: ipfw

Непрочитанное сообщение kuraltay-khan » 2013-03-24 11:35:17

...с ошибкой синтаксиса разобрался методом тыка - на разных сайтах разно представлено было, в итоге заработало:

ipfw add 1750 deny ip from table\(1\) to 192.168.200.149


...остаётся вопрос о группе ПК - как это правильно оформить...

kuraltay-khan
проходил мимо
Сообщения: 8
Зарегистрирован: 2013-03-22 11:13:14
Откуда: Барнаул
Контактная информация:

Re: ipfw

Непрочитанное сообщение kuraltay-khan » 2013-03-24 13:32:29

...можно ли сделать так: в таблице 1 - список запретных ip адресов, а в таблице 2 - список внутренних адресов, к которым применяется правило запрета из таблицы 1. Вопрос, можно ли использовать такого типа запись:

Код: Выделить всё

ipfw add 1800 deny ip from table\(1\) to table\(2\)
...так можно сделать?..

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: ipfw

Непрочитанное сообщение FreeBSP » 2013-03-24 15:05:27

что мешает попробовать?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
MAGNet
ефрейтор
Сообщения: 65
Зарегистрирован: 2013-03-24 13:28:42
Откуда: Новосибирск

Re: ipfw

Непрочитанное сообщение MAGNet » 2013-03-24 18:05:21

Немного не в тему, но ограничение свободы пользователей на просторах интернетов, мягко говоря, не решается только силами фаерволов или фильтрацией пакетов.
kuraltay-khan писал(а):сейчас хочу полностью отказаться от виндового прокси..
Именно прокси-сервер - самое правильное решение, но делаете правильно - UserGate не нужен.
..но не знаю с чего начать
Начните с чтения вот этой статьи: squid+sams+rejik
..и там далее по списку
Не работает? Попробуйте выключить и снова включить