ipfw + squid (попытка #2)
Добавлено: 2007-05-18 11:12:22
Добрый день!
Пишу второй раз после третьей регистрации
, поскольку вчерашняя регистрация
и вчерашнее письмо с долгожданным ответом ... ну, вы знаете.
Теперь о деле: есть шлюз на FreeBSD, через него пользователи выходят в интернет.
Параллельно поднят сервер SQUID с аутентификацией, пока в тестовом режиме. Для
закрытия путей в обход SQUID необходимо закрыть порт 80 для компьютеров из
внутренней сети, т.е. добавить правило для ipfw. Далее следует вывод
команды ipfw list (fxp0 - LAN; fxp1 - iNet):
Предполагаемое правило:
Интуитивно предполагаю, что номер правила должен быть после правила
с divert. Большая просьба рассеять сомнения или поправить меня
Спасибо.
Пишу второй раз после третьей регистрации
, поскольку вчерашняя регистрацияи вчерашнее письмо с долгожданным ответом ... ну, вы знаете.
Теперь о деле: есть шлюз на FreeBSD, через него пользователи выходят в интернет.
Параллельно поднят сервер SQUID с аутентификацией, пока в тестовом режиме. Для
закрытия путей в обход SQUID необходимо закрыть порт 80 для компьютеров из
внутренней сети, т.е. добавить правило для ipfw. Далее следует вывод
команды ipfw list (fxp0 - LAN; fxp1 - iNet):
Код: Выделить всё
00010 allow ip from any to any via lo0
00020 deny log logamount 900 icmp from any to any frag
00021 deny log logamount 900 icmp from any to any in icmptypes 5,9,13,14,15,16,17
00030 deny ip from any to any dst-port 137
00031 deny ip from any to any dst-port 138
00032 deny ip from any to any dst-port 139
00040 deny ip from any to any dst-port 135
00050 deny ip from any to any dst-port 445
00060 deny log logamount 900 ip from any to any dst-port 110 in via fxp1
00080 deny log logamount 900 ip from any to any dst-port 23
00090 divert 8668 ip from any to any via fxp1
65000 allow log logamount 900 ip from any to any
65535 deny ip from any to any
Код: Выделить всё
##### deny log tcp from ${local_ip}/${netmask} to any dst-port 80 in via fxp0
с divert. Большая просьба рассеять сомнения или поправить меня
Спасибо.
