Код: Выделить всё
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
# And finally deny all other access to this proxy
http_access deny all
Все решило просто, закоментил в конфиге сквидаivan_k писал(а):http://sams.perm.ru/doc/ru/settings.html#SAMSSETTINGS - тут должно быть
http://sams.perm.ru/doc/ru/shablons.html#AUTH и еще
Код: Выделить всё
http_access allow localnetа при реконфигуре из веб-морды, самс вроде затирает строчки, котрые вручную правишь, на своиcorsik писал(а): Все решило просто, закоментил в конфиге сквидаКод: Выделить всё
http_access allow localnet
нельзяcorsik писал(а):такой вопрос, а что через squid нельзя почту пускать
Я прописал порты 25 И 110 почта не идет. Начал рыться в инете пишут что мол нельзя через сквида почту пускать
Открывать для локалки доступ к 25 и 110 портам через нат в инетUBRIUM писал(а):Тема под стать!
А вот действительно, какие пути решения с почтой в такой ситуации??
Каким образом тогда резать остальные порты? Ибо изначально была мысль как раз чтобы в инет ходили только разрешенные юзеры!ivan_k писал(а):Открывать для локалки доступ к 25 и 110 портам через нат в инетUBRIUM писал(а):Тема под стать!
А вот действительно, какие пути решения с почтой в такой ситуации??
для почты, в ipfw добавить правила для компов в локалкеcorsik писал(а):Каким образом тогда резать остальные порты? Ибо изначально была мысль как раз чтобы в инет ходили только разрешенные юзеры!ivan_k писал(а):Открывать для локалки доступ к 25 и 110 портам через нат в инетUBRIUM писал(а):Тема под стать!
А вот действительно, какие пути решения с почтой в такой ситуации??
Код: Выделить всё
allow tcp from 192.168.100.0/24 to any 25
allow tcp from 192.168.100.0/24 to any 110
allow tcp from 192.168.100.0/24 to any 995
allow tcp from 192.168.100.0/24 to any 465
Код: Выделить всё
# -- sysinstall generated deltas -- # Tue Jul 5 22:05:08 2011
# Created: Tue Jul 5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"
keymap="ru.koi8-r"
moused_enable="YES"
moused_type="auto"
apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"
Код: Выделить всё
#!/bin/sh
FwCMD=/sbin/ipfw # собственно где лежит бинарник ipfw
LanOut=le0 # внешний интерфейс
LanIn=le1 # внутренний интерфейс
IpOut=192.168.0.113 # внешний IP адрес машины
IpIn=192.168.1.100 # внутренний IP машины
NetMask=24 # маска сети
NetIn=192.168.1.0 # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0
# Вводим запреты:.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
# а тут собственно файрволл и начался:
# отправляем всех на frox
#${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid
#${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
#шифрованные порты почты
${FwCMD} add allow tcp from any to ${IpOut} 995 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 465 via ${LanOut}
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
${FwCMD} add allow ip from any to any via ${LanIn}
# запрещаем всё и всем.
#${FwCMD} add deny ip from any to any
Код: Выделить всё
freebsd# ps -ax | grep natd
849 ?? Is 0:00,00 /sbin/natd -dynamic -n le0
Вот оноcorsik писал(а):Все вроде правильно, но чет не понимаю одного где прописано, обращение внутреней сетевухи ко внешней при выходе в инет компов их сети? (не пинайте если совсем глупый вопрос)Код: Выделить всё
gateway_enable="YES"
Код: Выделить всё
# -- sysinstall generated deltas -- # Tue Jul 5 22:05:08 2011
# Created: Tue Jul 5 22:05:08 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
hostname="freebsd"
ifconfig_le0="DHCP"
ifconfig_le1="inet 192.168.1.100 netmask 255.255.255.0"
keymap="ru.koi8-r"
moused_enable="YES
firewall_enable="YES"
firewall_type="open"
gateway_enable="YES"
natd_enable="YES"
natd_interface="le0"
apache22_enable="YES"
#squid_enable="YES"
mysql_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"
hald_ebable="YES"
dbus_ebable="YES"
sams_enable="YES"Код: Выделить всё
freebsd# ipfw show
00100 250 226442 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 2968 1666126 allow ip from any to any
[b]65535 0 0 deny ip from any to any[/b]