ipfw
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2013-03-22 11:13:14
- Откуда: Барнаул
- Контактная информация:
ipfw
...доброго времени суток! Я начинающий во FreeBSD - нужна помощь. Маны читал, но не всё понятно, поэтому и обращаюсь сюда. Ситуация такая: у меня поднята FreeBSD v8.0 для раздачи интернета в конторе, дирекция и бухгалтерия ходили напрямую через фрю, а остальной персонал через виндовый прокси UserGate (не спорю, что завёрнут геморрой сетевой, но так стояла задача от администрации) - сейчас хочу полностью отказаться от виндового прокси, но не знаю с чего начать. Для начала мне надо закрыть некоторым машинам выход на определённые сайты (есть несколько челов, которые идут в обход UserGate для посещения определённых сайтов - поэтому и возник сам вопрос). Если я правильно понимаю, то делаю так добавляя правила в IPFW: /sbin/ipfw add 1111 deny ip from amic.ru to 192.168.200.149 - то есть я прикрываю сайт amic.ru для ПК с адресом 192.168.200.149 - вроде как работает. Вопрос в том, что есть ли возможность сделать файл запрещённых адресов сайтов, который периодически будет пополняться, который можно было бы применять к одному ПК или к целой группе ПК. Если да, то как это реализовать...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: ipfw
смотри в сторону таблиц
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
-
- мл. сержант
- Сообщения: 113
- Зарегистрирован: 2012-05-12 11:24:30
Re: ipfw
ipfw table в которую потом будешь добавлять IP ну и правило одно для этой таблицы. Писать для каждого пользователя правило фаервола не к чему. Групируй их по таблицам.
Тут http://wiki.slavka.kiev.ua/index.php/%D ... D1%8B_ipfw почитай о них там есть все что тебе нужно.
Тут http://wiki.slavka.kiev.ua/index.php/%D ... D1%8B_ipfw почитай о них там есть все что тебе нужно.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2013-03-22 11:13:14
- Откуда: Барнаул
- Контактная информация:
Re: ipfw
...для тех кто в танке прошу уточнения в правильности понимания вопроса:
создаю таблицу для закрытия сайтов drom.ru 89.188.112.203 89.188.112.234 и amic.ru 83.246.133.15:
проверяю командой наличие данных IP в таблице:
в итоге получаю:
произвожу применение данной таблицы в ipfw командой для ПК с адресом 192.168.200.149:
...и на экране вижу: Sytax error: ")"
...подскажите - где пролажался? И можно как-то сделать такого типа применения для группы внутренних ip адресов, к примеру: 192.168.200.50-192.168.200.200, если да, то как. Заранее благодарю за ответ...
создаю таблицу для закрытия сайтов drom.ru 89.188.112.203 89.188.112.234 и amic.ru 83.246.133.15:
Код: Выделить всё
ipfw table 1 add 89.188.112.203
ipfw table 1 add 89.188.112.234
ipfw table 1 add 83.246.133.15
Код: Выделить всё
ipfw table 1 list
Код: Выделить всё
89.188.112.203\32 0
89.188.112.234\32 0
83.246.133.15\32 0
Код: Выделить всё
ipfw add deny ip from table \(1)\ to 192.168.200.149
...подскажите - где пролажался? И можно как-то сделать такого типа применения для группы внутренних ip адресов, к примеру: 192.168.200.50-192.168.200.200, если да, то как. Заранее благодарю за ответ...
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2013-03-22 11:13:14
- Откуда: Барнаул
- Контактная информация:
Re: ipfw
...с ошибкой синтаксиса разобрался методом тыка - на разных сайтах разно представлено было, в итоге заработало:
ipfw add 1750 deny ip from table\(1\) to 192.168.200.149
...остаётся вопрос о группе ПК - как это правильно оформить...
ipfw add 1750 deny ip from table\(1\) to 192.168.200.149
...остаётся вопрос о группе ПК - как это правильно оформить...
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2013-03-22 11:13:14
- Откуда: Барнаул
- Контактная информация:
Re: ipfw
...можно ли сделать так: в таблице 1 - список запретных ip адресов, а в таблице 2 - список внутренних адресов, к которым применяется правило запрета из таблицы 1. Вопрос, можно ли использовать такого типа запись:
...так можно сделать?..
Код: Выделить всё
ipfw add 1800 deny ip from table\(1\) to table\(2\)
- FreeBSP
- майор
- Сообщения: 2020
- Зарегистрирован: 2009-05-24 20:20:19
- Откуда: Москва
Re: ipfw
что мешает попробовать?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!
- MAGNet
- ефрейтор
- Сообщения: 65
- Зарегистрирован: 2013-03-24 13:28:42
- Откуда: Новосибирск
Re: ipfw
Немного не в тему, но ограничение свободы пользователей на просторах интернетов, мягко говоря, не решается только силами фаерволов или фильтрацией пакетов.
..и там далее по списку
Именно прокси-сервер - самое правильное решение, но делаете правильно - UserGate не нужен.kuraltay-khan писал(а):сейчас хочу полностью отказаться от виндового прокси..
Начните с чтения вот этой статьи: squid+sams+rejik..но не знаю с чего начать
..и там далее по списку
Не работает? Попробуйте выключить и снова включить