Страница 1 из 1
Запрет на интернет и обновления
Добавлено: 2011-04-09 9:13:20
Time
Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?
Re: Запрет на интернет и обновления
Добавлено: 2011-04-09 12:16:25
Electronik
Топология сети какая?
Re: Запрет на интернет и обновления
Добавлено: 2011-04-09 17:27:37
Alex Keda
Time писал(а):Добрый день!
Вобщем нужно что бы фря работала как шлюз для почтовыой програмы оутлука т.е. для рамблера майла и т.д. и т.п., в фареволе я открыл порты все работает.
в rc.conf прописано gateway_enable="YES"
Проблема в следущем, на клиенском ПК прописваешь фрю(раньше был прописан др шлюз) как шлюз в сетевых настроиках и на пк начинет появляться интернет и обновляться программы, как это все запретить?
вообще, обнвляться-то неплохо...
Re: Запрет на интернет и обновления
Добавлено: 2011-04-10 4:01:58
ADRE
сквид прозрачный поставь или настрой файервол. или отключи провода тем, кто не должен обновляться..
Re: Запрет на интернет и обновления
Добавлено: 2011-04-10 12:14:12
mak_v_
Разрешите в фаерволе на фре необходимые сервисы(порты) \25,110, 53, 995, 465\ для ваших раб.станций, остальное запретите
Re: Запрет на интернет и обновления
Добавлено: 2011-04-10 16:33:35
Time
вот стоят такие правила в конце
Код: Выделить всё
${FwCMD} add allow tcp from any to ${IpOut} 995
${FwCMD} add allow tcp from any to ${IpOut} 465
${FwCMD} add allow tcp from any to ${IpOut} 25
${FwCMD} add allow tcp from any to ${IpOut} 2525
${FwCMD} add allow tcp from any to ${IpOut} 110
${FwCMD} add allow tcp from any to ${IpOut} 587
${FwCMD} add allow tcp from any to ${IpOut} 993
${FwCMD} add allow tcp from any to ${IpOut} 143
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
#${FwCMD} add deny ip from any to any
# deny log ip from any to any
все ровно программы ломяться на 80 порт и в интернет пролязят как то
я порты 80 8080 завернул на левый порт, все ровно ничего не нужно кроме почты
а вот открываешь какую то программу, например проверить обновления, она через другие порты как то определяет текущую версию т.е. получаеться в инет могут вылазить программы
Re: Запрет на интернет и обновления
Добавлено: 2011-04-10 16:38:34
Electronik
Electronik писал(а):Топология сети какая?
Re: Запрет на интернет и обновления
Добавлено: 2011-04-10 18:36:15
mak_v_
Код: Выделить всё
${FwCMD} add allow tcp from any to any via ${LanIn}
явно разрешает весь tcp трафик приходящий "изнутри" на вашу фрю. Фаервол вам надо "причесать". Для подтверждения моих слов - поставьте
в начало правило
Код: Выделить всё
${FwCMD} add deny tcp from any to any 80 via ${LanIn}
Думаю убедитесь что http наружу не поучит никто.