Страница 1 из 1
ipfw
Добавлено: 2013-03-22 13:18:56
kuraltay-khan
...доброго времени суток! Я начинающий во FreeBSD - нужна помощь. Маны читал, но не всё понятно, поэтому и обращаюсь сюда. Ситуация такая: у меня поднята FreeBSD v8.0 для раздачи интернета в конторе, дирекция и бухгалтерия ходили напрямую через фрю, а остальной персонал через виндовый прокси UserGate (не спорю, что завёрнут геморрой сетевой, но так стояла задача от администрации) - сейчас хочу полностью отказаться от виндового прокси, но не знаю с чего начать. Для начала мне надо закрыть некоторым машинам выход на определённые сайты (есть несколько челов, которые идут в обход UserGate для посещения определённых сайтов - поэтому и возник сам вопрос). Если я правильно понимаю, то делаю так добавляя правила в IPFW: /sbin/ipfw add 1111 deny ip from amic.ru to 192.168.200.149 - то есть я прикрываю сайт amic.ru для ПК с адресом 192.168.200.149 - вроде как работает. Вопрос в том, что есть ли возможность сделать файл запрещённых адресов сайтов, который периодически будет пополняться, который можно было бы применять к одному ПК или к целой группе ПК. Если да, то как это реализовать...
Re: ipfw
Добавлено: 2013-03-22 14:29:12
FreeBSP
смотри в сторону таблиц
Re: ipfw
Добавлено: 2013-03-23 6:56:52
chipset
ipfw table в которую потом будешь добавлять IP ну и правило одно для этой таблицы. Писать для каждого пользователя правило фаервола не к чему. Групируй их по таблицам.
Тут
http://wiki.slavka.kiev.ua/index.php/%D ... D1%8B_ipfw почитай о них там есть все что тебе нужно.
Re: ipfw
Добавлено: 2013-03-24 11:09:23
kuraltay-khan
...для тех кто в танке прошу уточнения в правильности понимания вопроса:
создаю таблицу для закрытия сайтов drom.ru 89.188.112.203 89.188.112.234 и amic.ru 83.246.133.15:
Код: Выделить всё
ipfw table 1 add 89.188.112.203
ipfw table 1 add 89.188.112.234
ipfw table 1 add 83.246.133.15
проверяю командой наличие данных IP в таблице:
в итоге получаю:
Код: Выделить всё
89.188.112.203\32 0
89.188.112.234\32 0
83.246.133.15\32 0
произвожу применение данной таблицы в ipfw командой для ПК с адресом 192.168.200.149:
Код: Выделить всё
ipfw add deny ip from table \(1)\ to 192.168.200.149
...и на экране вижу:
Sytax error: ")"
...подскажите - где пролажался? И можно как-то сделать такого типа применения для группы внутренних ip адресов, к примеру: 192.168.200.50-192.168.200.200, если да, то как. Заранее благодарю за ответ...
Re: ipfw
Добавлено: 2013-03-24 11:35:17
kuraltay-khan
...с ошибкой синтаксиса разобрался методом тыка - на разных сайтах разно представлено было, в итоге заработало:
ipfw add 1750 deny ip from table\(1\) to 192.168.200.149
...остаётся вопрос о группе ПК - как это правильно оформить...
Re: ipfw
Добавлено: 2013-03-24 13:32:29
kuraltay-khan
...можно ли сделать так: в таблице 1 - список запретных ip адресов, а в таблице 2 - список внутренних адресов, к которым применяется правило запрета из таблицы 1. Вопрос, можно ли использовать такого типа запись:
Код: Выделить всё
ipfw add 1800 deny ip from table\(1\) to table\(2\)
...так можно сделать?..
Re: ipfw
Добавлено: 2013-03-24 15:05:27
FreeBSP
что мешает попробовать?
Re: ipfw
Добавлено: 2013-03-24 18:05:21
MAGNet
Немного не в тему, но
ограничение свободы пользователей на просторах интернетов, мягко говоря,
не решается только силами фаерволов или фильтрацией пакетов.
kuraltay-khan писал(а):сейчас хочу полностью отказаться от виндового прокси..
Именно
прокси-сервер - самое правильное решение, но делаете правильно - UserGate не нужен.
..но не знаю с чего начать
Начните с чтения вот этой статьи:
squid+sams+rejik
..и там далее по списку