Страница 1 из 4
Правило в IPFW
Добавлено: 2009-01-28 9:51:59
vasilastr
Добрый день !!
Кто может подсказать каким правилом фаервола можно реализовать такую возможность , чтобы юзер который хочет зайти на запретный сайт попадал не в интернет а на локальную веб страницу
???
Re: Правило в IPFW
Добавлено: 2009-01-28 10:04:07
gofman
viewtopic.php?f=4&t=14592 schizoid демонстрировал пример, как у него реализована таже задача
Re: Правило в IPFW
Добавлено: 2009-01-28 10:17:14
vasilastr
Ага спасибо ща попробую
Re: Правило в IPFW
Добавлено: 2009-01-28 11:47:55
vasilastr
Пробую такое правило
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table(1) via vlan1
А мне
Код: Выделить всё
./firewall.sh: 90: Syntax error: "(" unexpected
Гдеж ошибка ?
Re: Правило в IPFW
Добавлено: 2009-01-28 11:51:43
vasilastr
Без собок тоже ругается
Re: Правило в IPFW
Добавлено: 2009-01-28 12:13:17
gofman
попробуй так
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table\(1\) via vlan1
Re: Правило в IPFW
Добавлено: 2009-01-28 12:13:57
schizoid
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to 'table(1)' via vlan1
Re: Правило в IPFW
Добавлено: 2009-01-28 12:14:38
vasilastr
Тоже самое
Re: Правило в IPFW
Добавлено: 2009-01-28 12:16:13
schizoid
если скриптом , то так как я описал. если с консоли, то екранируй скобки table\(1\)
Re: Правило в IPFW
Добавлено: 2009-01-28 12:16:56
schizoid
и шелл какой используется в скрипте фаервола?
Re: Правило в IPFW
Добавлено: 2009-01-28 12:19:20
vasilastr
Стандартный sh
Re: Правило в IPFW
Добавлено: 2009-01-28 12:21:34
vasilastr
Код: Выделить всё
$fwcmd add 1400 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to 'table(1)' via vlan1
вот так помогло от ошибки избавиться спасибо друг
Re: Правило в IPFW
Добавлено: 2009-01-28 12:22:27
schizoid
так я так вроде и написал...
Re: Правило в IPFW
Добавлено: 2009-01-28 12:30:46
vasilastr
А там deny не где ставить не надо, а то что то правило есть но не работает
Re: Правило в IPFW
Добавлено: 2009-01-28 13:11:21
schizoid
ну и логи. срабатывает ли ваще оно
Re: Правило в IPFW
Добавлено: 2009-01-28 13:21:32
vasilastr
Нет даже логи не выдает и не один пакет не проходит
Re: Правило в IPFW
Добавлено: 2009-01-28 13:22:16
schizoid
Re: Правило в IPFW
Добавлено: 2009-01-28 13:23:12
vasilastr
Ядро с этой опцией включено
Re: Правило в IPFW
Добавлено: 2009-01-28 13:23:57
schizoid
нет. в консоли выполни эту команду. и вывод сюда
Re: Правило в IPFW
Добавлено: 2009-01-28 13:28:39
vasilastr
Код: Выделить всё
00079 6424 1160057 divert 199 ip from 192.168.0.0/24 to any out via vlan12
00080 6383 1158043 divert 8668 ip from 192.168.0.0/24 to any out via vlan12
00081 7446 4420503 divert 8668 ip from any to me in via vlan12
00082 7168 4352884 divert 199 ip from any to 192.168.0.0/24 in via vlan12
00102 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00103 9 504 allow icmp from any to any
00403 7 532 allow udp from any 123 to me in via vlan12
00404 0 0 allow udp from 192.168.0.0/24 to me dst-port 123
00405 0 0 allow udp from me 123 to 192.168.0.0/24
00415 6 454 allow udp from me to any dst-port 53
00416 0 0 allow udp from any 53 to me
00500 0 0 allow ip from any to any via lo
00510 5747 1070106 allow tcp from me to any via vlan12 keep-state
00511 22997 10267203 allow ip from 192.168.0.0/24 to any limit src-addr 20
00513 0 0 allow udp from me to any dst-port 53 keep-state
00514 0 0 allow udp from any to me dst-port 53
00515 637 88015 allow ip from me to any
01030 0 0 allow tcp from 192.168.0.0/22 to me dst-port 20,21,80
01031 0 0 allow tcp from me 20,21,80 to 192.168.0.0/22
01401 0 0 fwd 192.168.0.1,8080 log logamount 1000 tcp from any to table(1) via rl0
65534 242 41460 deny log logamount 100 ip from any to any
65535 4689 940394 allow ip from any to any
Re: Правило в IPFW
Добавлено: 2009-01-28 13:30:21
schizoid
перед НАТом поставь правило.
Re: Правило в IPFW
Добавлено: 2009-01-28 13:37:16
vasilastr
Адреса закрылись но станица не появилась 192.168.0.1,8080
Re: Правило в IPFW
Добавлено: 2009-01-28 13:40:41
schizoid
а она ваще работает?
т.е. если в браузере ввести http:\\192.168.0.1:8080 - работает?
Re: Правило в IPFW
Добавлено: 2009-01-28 13:49:14
vasilastr
http:\\192.168.0.1\
такая работает
Re: Правило в IPFW
Добавлено: 2009-01-28 13:51:48
schizoid
так тыж на 8080 отправляешь...