forum.lissyara.su

Раз не осталось живых, значит мертвые — Встать!
https://forum.lissyara.su/

Правило в IPFW

https://forum.lissyara.su/viewtopic.php?f=8&t=14785

Страница 1 из 4

Правило в IPFW

Добавлено: 2009-01-28 9:51:59
vasilastr
Добрый день !!
Кто может подсказать каким правилом фаервола можно реализовать такую возможность , чтобы юзер который хочет зайти на запретный сайт попадал не в интернет а на локальную веб страницу :smile: ???

Re: Правило в IPFW

Добавлено: 2009-01-28 10:04:07
gofman
viewtopic.php?f=4&t=14592 schizoid демонстрировал пример, как у него реализована таже задача

Re: Правило в IPFW

Добавлено: 2009-01-28 10:17:14
vasilastr
Ага спасибо ща попробую :smile:

Re: Правило в IPFW

Добавлено: 2009-01-28 11:47:55
vasilastr
Пробую такое правило

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table(1) via vlan1
А мне

Код: Выделить всё

./firewall.sh: 90: Syntax error: "(" unexpected

Код: Выделить всё

free# ipfw table 1 list
212.119.192.0/18 0
Гдеж ошибка ? :(

Re: Правило в IPFW

Добавлено: 2009-01-28 11:51:43
vasilastr
Без собок тоже ругается

Re: Правило в IPFW

Добавлено: 2009-01-28 12:13:17
gofman
попробуй так

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table\(1\) via vlan1

Re: Правило в IPFW

Добавлено: 2009-01-28 12:13:57
schizoid

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to 'table(1)' via vlan1

Re: Правило в IPFW

Добавлено: 2009-01-28 12:14:38
vasilastr
Тоже самое
:(

Re: Правило в IPFW

Добавлено: 2009-01-28 12:16:13
schizoid
если скриптом , то так как я описал. если с консоли, то екранируй скобки table\(1\)

Re: Правило в IPFW

Добавлено: 2009-01-28 12:16:56
schizoid
и шелл какой используется в скрипте фаервола?

Re: Правило в IPFW

Добавлено: 2009-01-28 12:19:20
vasilastr
Стандартный sh

Re: Правило в IPFW

Добавлено: 2009-01-28 12:21:34
vasilastr

Код: Выделить всё

$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to 'table(1)' via vlan1
вот так помогло от ошибки избавиться спасибо друг :smile:

Re: Правило в IPFW

Добавлено: 2009-01-28 12:22:27
schizoid
так я так вроде и написал... :Bravo:

Re: Правило в IPFW

Добавлено: 2009-01-28 12:30:46
vasilastr
А там deny не где ставить не надо, а то что то правило есть но не работает

Re: Правило в IPFW

Добавлено: 2009-01-28 13:11:21
schizoid

Код: Выделить всё

ipfw show
ну и логи. срабатывает ли ваще оно

Re: Правило в IPFW

Добавлено: 2009-01-28 13:21:32
vasilastr
Нет даже логи не выдает и не один пакет не проходит :(

Re: Правило в IPFW

Добавлено: 2009-01-28 13:22:16
schizoid

Код: Выделить всё

ipfw show
покажи

Re: Правило в IPFW

Добавлено: 2009-01-28 13:23:12
vasilastr
Ядро с этой опцией включено

Re: Правило в IPFW

Добавлено: 2009-01-28 13:23:57
schizoid
нет. в консоли выполни эту команду. и вывод сюда

Re: Правило в IPFW

Добавлено: 2009-01-28 13:28:39
vasilastr

Код: Выделить всё

00079  6424  1160057 divert 199 ip from 192.168.0.0/24 to any out via vlan12
00080  6383  1158043 divert 8668 ip from 192.168.0.0/24 to any out via vlan12
00081  7446  4420503 divert 8668 ip from any to me in via vlan12
00082  7168  4352884 divert 199 ip from any to 192.168.0.0/24 in via vlan12
00102     0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00103     9      504 allow icmp from any to any
00403     7      532 allow udp from any 123 to me in via vlan12
00404     0        0 allow udp from 192.168.0.0/24 to me dst-port 123
00405     0        0 allow udp from me 123 to 192.168.0.0/24
00415     6      454 allow udp from me to any dst-port 53
00416     0        0 allow udp from any 53 to me
00500     0        0 allow ip from any to any via lo
00510  5747  1070106 allow tcp from me to any via vlan12 keep-state
00511 22997 10267203 allow ip from 192.168.0.0/24 to any limit src-addr 20
00513     0        0 allow udp from me to any dst-port 53 keep-state
00514     0        0 allow udp from any to me dst-port 53
00515   637    88015 allow ip from me to any
01030     0        0 allow tcp from 192.168.0.0/22 to me dst-port 20,21,80
01031     0        0 allow tcp from me 20,21,80 to 192.168.0.0/22
01401     0        0 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table(1) via rl0
65534   242    41460 deny log logamount 100 ip from any to any
65535  4689   940394 allow ip from any to any

Re: Правило в IPFW

Добавлено: 2009-01-28 13:30:21
schizoid
перед НАТом поставь правило.

Re: Правило в IPFW

Добавлено: 2009-01-28 13:37:16
vasilastr
Адреса закрылись но станица не появилась 192.168.0.1,8080 :smile:

Re: Правило в IPFW

Добавлено: 2009-01-28 13:40:41
schizoid
а она ваще работает?
т.е. если в браузере ввести http:\\192.168.0.1:8080 - работает?

Re: Правило в IPFW

Добавлено: 2009-01-28 13:49:14
vasilastr
http:\\192.168.0.1\
такая работает

Re: Правило в IPFW

Добавлено: 2009-01-28 13:51:48
schizoid
так тыж на 8080 отправляешь...
Часовой пояс: UTC+03:00
Страница 1 из 4
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/