Запрет на интернет и обновления

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Запрет на интернет и обновления

Непрочитанное сообщение Time » 2011-04-09 9:13:20

Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?
Последний раз редактировалось f_andrey 2011-04-09 9:30:11, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Запрет на интернет и обновления

Непрочитанное сообщение Electronik » 2011-04-09 12:16:25

Топология сети какая?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35182
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запрет на интернет и обновления

Непрочитанное сообщение Alex Keda » 2011-04-09 17:27:37

Time писал(а):Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?
вообще, обнвляться-то неплохо...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Запрет на интернет и обновления

Непрочитанное сообщение ADRE » 2011-04-10 4:01:58

сквид прозрачный поставь или настрой файервол. или отключи провода тем, кто не должен обновляться..
//del

mak_v_
проходил мимо

Re: Запрет на интернет и обновления

Непрочитанное сообщение mak_v_ » 2011-04-10 12:14:12

Разрешите в фаерволе на фре необходимые сервисы(порты) \25,110, 53, 995, 465\ для ваших раб.станций, остальное запретите

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: Запрет на интернет и обновления

Непрочитанное сообщение Time » 2011-04-10 16:33:35

вот стоят такие правила в конце

Код: Выделить всё

${FwCMD} add allow tcp from any to ${IpOut} 995
${FwCMD} add allow tcp from any to ${IpOut} 465
${FwCMD} add allow tcp from any to ${IpOut} 25
${FwCMD} add allow tcp from any to ${IpOut} 2525
${FwCMD} add allow tcp from any to ${IpOut} 110
${FwCMD} add allow tcp from any to ${IpOut} 587
${FwCMD} add allow tcp from any to ${IpOut} 993
${FwCMD} add allow tcp from any to ${IpOut} 143


# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
#${FwCMD} add deny ip from any to any
# deny log ip from any to any
все ровно программы ломяться на 80 порт и в интернет пролязят как то
я порты 80 8080 завернул на левый порт, все ровно ничего не нужно кроме почты
а вот открываешь какую то программу, например проверить обновления, она через другие порты как то определяет текущую версию т.е. получаеться в инет могут вылазить программы

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Запрет на интернет и обновления

Непрочитанное сообщение Electronik » 2011-04-10 16:38:34

Electronik писал(а):Топология сети какая?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

mak_v_
проходил мимо

Re: Запрет на интернет и обновления

Непрочитанное сообщение mak_v_ » 2011-04-10 18:36:15

Код: Выделить всё

${FwCMD} add allow tcp from any to any via ${LanIn}
явно разрешает весь tcp трафик приходящий "изнутри" на вашу фрю. Фаервол вам надо "причесать". Для подтверждения моих слов - поставьте в начало правило

Код: Выделить всё

${FwCMD} add deny tcp from any to any 80 via ${LanIn}
Думаю убедитесь что http наружу не поучит никто.