Страница 1 из 1

ipfw ограниченный доступ пользователям

Добавлено: 2009-01-12 13:30:19
Twister
Всем привет!
Имеется фря 6.2 в домашней сетки в роли шлюза в инет.
Задача такая: надо пользователям в сети дать доступ только на самбу,а одному компу на всё,у меня получился вот такой конфиг,поправте где бреш в файере.

Код: Выделить всё

#!/bin/sh

ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 500"
net="tun0"
lan="fxp0"
access="192.168.0.3" этому можо всё
lan_in="192.168.0.0/24{2,4-254}" это остальные
out_tcp="22,25,37,43,53,67,68,80,81,85,443,110,210,2802,5190,8080,3218,5999,8030" 

$cmd 010 allow all from $access to any via $lan  
$cmd 020 allow all from $lan_in to any dst-port 139,445 via $lan как-то каряво помоему получилось здесь,или прямо указать in out ?         
$cmd 030 allow all from any to any via lo0
$cmd 100 divert natd ip from not $lan_in to any in via $net

$cmd 101 check-state

$cmd 130 $skip udp from any to any 53 out via $net keep-state 
$cmd 135 $skip tcp from any to any $out_tcp out via $net setup keep-state
$cmd 140 $skip icmp from any to any out via $net keep-state

Благодарю ответевших.

Re: ipfw ограниченный доступ пользователям

Добавлено: 2009-01-12 13:51:43
paradox
ну так ?
все работае или в чем трабл?

зы
137 138 портов невижу

Re: ipfw ограниченный доступ пользователям

Добавлено: 2009-01-12 16:19:24
Twister
проблема в том что один фих в инет лазить могут через nat,если конечно в тупую непоставить в правиле divert natd ip from not $access to any in via $net
ну и также на out,divert natd ip from $access to any out via $net,как-то по грамотней охота,хотя пока и так сойдёт,патом подкручу )
Спасибо откликнувшимся,вопрос снят.

Re: ipfw ограниченный доступ пользователям

Добавлено: 2009-01-12 17:32:00
Laa
Вот более проще в трех правилах:

Код: Выделить всё

$fwcmd add permit udp from any to me 137-139 in via $_int_if
$fwcmd add permit tcp from any to me 139 in via $_int_if
$fwcmd add unreach host ip from not $_allow_host to any in via $_int_if
Мысль -- разрешать только по входящим пакетам, остальное запрещать. Порты подправьте как положено. Или вынесите в переменную в начало.