Список разрешенных IP в IPFW

[alex117]

Собственно вопрос: как в конфиге IPFW указать список ip-адресов? Пробовал создавать переменную типа:

Код: Выделить всё

IP_list="/etc/black_list"

Где в /etc/black_list построчно были записаны нужные ip-адреса, но не катит
Мне нужно, чтобы в инет через NAT ходили только несколько компов, а остальные - через SQUID. При моей настройке все, у кого прописан шлюз имеют выход в инет, пока борюсь с этим добавлением запрещающих правил для каждого компа, но это не выход. Нужно что-то типа " запретить всем, кроме ip из белого списка.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

man ipfw, а там на table()

[km]

Конечно я несупер спец, но сделал бы так:
1. Настроить прозрачный прокси, если не знаешь как, читай форум.
1. Создал файл с ip адресами, тем кому можно на NAT(white_list);
2. Создал файл с ip адресами, тем кому только через squid(black_list);
3. В файле конфигурации firewall использовал table:

Код: Выделить всё

#!/bin/sh

ipfw -f flush
ipfw table all flush

iip="192.168.1.1"
oip="xxx.xxx.xxx.xxx"
oif="xl0"
iif="em0"

cat /etc/black_list | while read cLine1; do
        ipfw table 1 add $cLine1
done

cat /etc/white_list | while read cLine2; do
        ipfw table 2 add $cLine2
done

ipfw add 10 check-state
ipfw add 20 allow all from any to any via lo0

ipfw nat 1 config if ${oif} deny_in same_ports unreg_only
ipfw add 40 nat 1 tcp from "table(2)" to any 80 out via ${oif}
ipfw add 50 nat 1 tcp from any 80 to ${oip} in via ${oif}   

ipfw add 60 fwd ${iip},8080 tcp from "table(1)" to any 80 recv ${iif}

ipfw add 70 allow ip from any to any via ${iif}
ipfw add 80 deny all from any to any

4. Перезапустил файрвол.

Вышеуказанные настройки указаны для FreeBSD 7.2(ipfw+kernel NAT+SQUID)

[km]

Тут подумал, можно даже проще сделать.
Используя только черный список ip.

Код: Выделить всё

#!/bin/sh

ipfw -f flush
ipfw table all flush

iip="192.168.1.1"
oip="xxx.xxx.xxx.xxx"
oif="xl0"
iif="em0"

cat /etc/black_list | while read cLine; do
        ipfw table 1 add $cLine
done

ipfw add 10 check-state
ipfw add 20 allow all from any to any via lo0

ipfw add 30 fwd ${iip},8080 tcp from "table(1)" to any 80 recv ${iif}

ipfw nat 1 config if ${oif} deny_in same_ports unreg_only
ipfw add 40 nat 1 tcp from ${iip}/24 to any 80 out via ${oif}
ipfw add 50 nat 1 tcp from any 80 to ${oip} in via ${oif} 

ipfw add 70 allow ip from any to any via ${iif}
ipfw add 80 deny all from any to any