Страница 1 из 1
правила IPFW
Добавлено: 2006-10-12 9:22:59
sevalex77
Как составить правила IPFW чтобы запретить пользователям LAN все, кроме SQUID. То есть чтобы не могли подключаться к ICQ и забирать почту используя Outlook и других почтовых клиентов???
Добавлено: 2006-10-12 9:29:39
Alex Keda
Ответ на дословный вопрос:
Код: Выделить всё
ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup
ipfw add tcp from any to any established
deny ip from any to any
но ввиду того, что прос не коорректен, правильно будет так
Код: Выделить всё
ipfw add allow tcp from ${local_network} to me 3128 via ${internal_intarface_name} setup
ipfw add tcp from any to any established
ipfw add allow ip from me to any
ipfw add deny ip from any to any
Добавлено: 2006-10-12 9:34:56
sevalex77
а полный конфиг на примере твоего firewall.conf, который в статье только с этими правилами можно?
Добавлено: 2006-10-12 9:36:36
Alex Keda
а я и привёл пример полного конфига.
Если тока сквид - то всякие nat`ы тебе не нужны.
Почты, судя по всему нет.
Для данных тобой условий - это полный конфиг. Запрещенов сё кроме сквида.
С одним дополнением - сквиду тоже надо лазит в инет, поэтому на одно правило больше
))
Добавлено: 2006-10-12 9:42:28
sevalex77
почта есть, nat тоже есть. Надо запретить icq и все остальное.
Добавлено: 2006-10-12 10:11:54
sevalex77
a Squid разрешить так add allow ip from 192.168.4.10/24 to any?
Добавлено: 2006-10-12 10:46:26
Urgor
ICQ вполне можно и через Сквид настроить...
Добавлено: 2006-10-12 11:02:15
dikens3
Urgor писал(а):ICQ вполне можно и через Сквид настроить...
Угу, у меня ICQ 2003b сама создала настройки под прокси (У меня прокси прозрачный) и работает.. Я аж упал.
Добавлено: 2006-10-12 11:38:45
sevalex77
а конфиг можно или ссылку как настроить
Добавлено: 2006-10-12 13:57:36
northern
sevalex77 писал(а):а конфиг можно или ссылку как настроить
ты определись что тебе надо
Добавлено: 2006-10-12 14:07:59
sevalex77
мне нужно настроить фаер таким образом, чтобы пользователи локальной сети могли использовать прокси сервер и ничего больше. ICQ и прием почты со всяких яндексов, майлов запретить, а чтобы своя почта ходила как внутри так и наружу. Так же должен работать NAT. Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.
Добавлено: 2006-10-12 14:21:40
Urgor
Добавлено: 2006-10-12 14:31:40
sevalex77
а причем тут squid я про фаер спрашивал и его настройку
Добавлено: 2006-10-12 15:06:34
sevalex77
А как разрешить Nat только для определенных адресов???
Добавлено: 2006-10-12 15:07:52
Alex Keda
правилами файрвола..
второй файрволл в примерах на сайте...
Добавлено: 2006-10-12 15:19:30
sevalex77
# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.151 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.153 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.154 to not ${NetIn} in via ${LanIn} setup
А вот это зачем?
Есть же # Отправляем всех на squid
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}
Или это для того чтобы указанные адреса ходили мимо прокси?
Добавлено: 2006-10-12 15:21:22
Urgor
sevalex77 писал(а):
а причем тут squid я про фаер спрашивал и его настройку
sevalex77 писал(а):Причем некоторым пользователям нужно разрешить использовать ICQ и почту c яндекса.
1. ICQ может работать и через Сквид, нат ей не особо нужен.
2. У майла, яндекса и прочих есть вебморда для почты. Невозможность забрать/отправить почту батом/мозиллой не сильно опечалит пользоваталя.
Добавлено: 2006-10-12 15:24:15
Alex Keda
иначе не выпустит
Добавлено: 2006-10-12 15:27:30
sevalex77
Не выпустит даже если идет все через SQUID?
Добавлено: 2006-10-12 15:28:41
Alex Keda
если фаер второй - то нет.