Запрет на интернет и обновления

[f_andrey]

Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

Топология сети какая?

[Alex Keda]

Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?

вообще, обнвляться-то неплохо...

[ADRE]

сквид прозрачный поставь или настрой файервол. или отключи провода тем, кто не должен обновляться..

[mak_v_]

Разрешите в фаерволе на фре необходимые сервисы(порты) \25,110, 53, 995, 465\ для ваших раб.станций, остальное запретите

[Time]

вот стоят такие правила в конце

Код: Выделить всё

${FwCMD} add allow tcp from any to ${IpOut} 995
${FwCMD} add allow tcp from any to ${IpOut} 465
${FwCMD} add allow tcp from any to ${IpOut} 25
${FwCMD} add allow tcp from any to ${IpOut} 2525
${FwCMD} add allow tcp from any to ${IpOut} 110
${FwCMD} add allow tcp from any to ${IpOut} 587
${FwCMD} add allow tcp from any to ${IpOut} 993
${FwCMD} add allow tcp from any to ${IpOut} 143


# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
#${FwCMD} add deny ip from any to any
# deny log ip from any to any

все ровно программы ломяться на 80 порт и в интернет пролязят как то
я порты 80 8080 завернул на левый порт, все ровно ничего не нужно кроме почты
а вот открываешь какую то программу, например проверить обновления, она через другие порты как то определяет текущую версию т.е. получаеться в инет могут вылазить программы

[Electronik]

Топология сети какая?

[mak_v_]

Код: Выделить всё

${FwCMD} add allow tcp from any to any via ${LanIn}

явно разрешает весь tcp трафик приходящий "изнутри" на вашу фрю. Фаервол вам надо "причесать". Для подтверждения моих слов - поставьте в начало правило

Код: Выделить всё

${FwCMD} add deny tcp from any to any 80 via ${LanIn}

Думаю убедитесь что http наружу не поучит никто.