ipfw + squid (попытка #2)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
serge1961
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-05-18 10:39:46
Откуда: Докучаевск, Украина

ipfw + squid (попытка #2)

Непрочитанное сообщение serge1961 » 2007-05-18 11:12:22

Добрый день!

Пишу второй раз после третьей регистрации :wink: , поскольку вчерашняя регистрация
и вчерашнее письмо с долгожданным ответом ... ну, вы знаете.

Теперь о деле: есть шлюз на FreeBSD, через него пользователи выходят в интернет.
Параллельно поднят сервер SQUID с аутентификацией, пока в тестовом режиме. Для
закрытия путей в обход SQUID необходимо закрыть порт 80 для компьютеров из
внутренней сети, т.е. добавить правило для ipfw. Далее следует вывод
команды ipfw list (fxp0 - LAN; fxp1 - iNet):

Код: Выделить всё

00010 allow ip from any to any via lo0
00020 deny log logamount 900 icmp from any to any frag
00021 deny log logamount 900 icmp from any to any in icmptypes 5,9,13,14,15,16,17
00030 deny ip from any to any dst-port 137
00031 deny ip from any to any dst-port 138
00032 deny ip from any to any dst-port 139
00040 deny ip from any to any dst-port 135
00050 deny ip from any to any dst-port 445
00060 deny log logamount 900 ip from any to any dst-port 110 in via fxp1
00080 deny log logamount 900 ip from any to any dst-port 23
00090 divert 8668 ip from any to any via fxp1
65000 allow log logamount 900 ip from any to any
65535 deny ip from any to any
Предполагаемое правило:

Код: Выделить всё

##### deny log tcp from ${local_ip}/${netmask} to any dst-port 80 in via fxp0
Интуитивно предполагаю, что номер правила должен быть после правила
с divert. Большая просьба рассеять сомнения или поправить меня :(

Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-05-18 11:27:58

Отвечаю 2-й раз, ну понятно почему.. :-)

В любом месте, до 65000 правила. (оно разрешает всё.)

P.S. Я бы переделал правило на такое, если на шлюзе нет своего www:

Код: Выделить всё

##### deny log tcp from any to any dst-port 80 in via fxp0
Или так, если есть www-сервер:

Код: Выделить всё

##### deny log tcp from any to not me dst-port 80 in via fxp0
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-18 11:45:22

ну, извинте...
тот сервер до сих пор в дауне...
Убей их всех! Бог потом рассортирует...

serge1961
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-05-18 10:39:46
Откуда: Докучаевск, Украина

ipfw + squid (попытка #2)

Непрочитанное сообщение serge1961 » 2007-05-18 11:49:30

Дважды большое спасибо :D