|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Sergey Chumakov 2:464/36 04 Feb 2004 19:57:43 To : All Subject : Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5_=C4?= -------------------------------------------------------------------------------- .MSGID: volcano.apex.dp.ua 03f5871c .REPLY: 2:5011/60.5 402113dc .REPLYADDR: Chumakov.Sergey@ooobadm.dp.ua.foo.com .REPLYTO: 2:464/36@fidonet UUCP .RFC-Message-ID: <bvr8a9$i40$1@volcano.apex.dp.ua> .RFC-X-Accept-Language: en-us, en From: Sergey Chumakov <Chumakov.Sergey@ooobadm.dp.ua.foo.com> Subject: Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5_=C4?= =?KOI8-R?Q?=CF=D3=D4=D5=D0=C1?= Vika Nazarevskaya wrote: > Hi. > > Сорри за чайниковость - есть freebsd 4.4, на ней ipfw, делающий nat из локалки > в инет и squid на порту 8080. Политика - разрешено все, что не запрещено > (65535 allow ip from any to any). В этих условиях надо, чтобы пользователи > могли пользоваться www только через родной squid, предполагая, что > прокси-сервера в инете все поголовно висят на 80,3128 и 8080. Hаписала в > rc.firewall ipfw add 50 deny tcp from any to any 80 via <int.iface> ipfw add > 70 deny tcp from any to any 3128 via <int.iface> ipfw add 80 deny tcp from any > to not me 8080 via <int.iface> ifpw add 40000 divert natd ... ipfw add 65535 > allow ip from any to any Однако не работает в самом интересном месте, где add > 80, перекрывает доступ наглухо по порту 8080. Почему? Ставить ipfw2 и тогда > все будет круто? Или можно написать в понятных для ipfw1 терминах, без "not > me"? Hа локальном интерфейсе <int.iface> уродство - три ip-адреса в разных > сетках, кстати. а кто мешает написать: ipfw add 80 allow tcp from any to me 8080 via <int.iface> ipfw add 90 deny tcp from any to any 8080 via <int.iface> ? > > И потом, нельзя ли сделать группу ip-шников (не set $net="сеть/маска" - это я > знаю) и писать как-нибудь типа: > > ipfw add yy deny tcp from {$dummyusers} to port via iface По-моему только ipfw2 такое умеет. allow="12,15,23,14" graynet="192.168.0.0/24" и потом: ${fwcmd} add 2200 allow tcp from ${graynet}\{$allow\} to any $transports_tcp in setup удобно :)) -- Сергей. --- Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.4) Gecko/20030829 * Origin: Apex NCC Public Internet News Server (2:464/36@fidonet) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/1265046872.html, оценка из 5, голосов 10
|