Frozen Fido : RU.UNIX.BSD : Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey Chumakov                      2:464/36       04 Feb 2004  19:57:43
 To : All
 Subject : Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5_=C4?=
 --------------------------------------------------------------------------------

 .MSGID: volcano.apex.dp.ua 03f5871c
 .REPLY: 2:5011/60.5 402113dc
 .REPLYADDR: Chumakov.Sergey@ooobadm.dp.ua.foo.com
 .REPLYTO: 2:464/36@fidonet UUCP
 .RFC-Message-ID: <bvr8a9$i40$1@volcano.apex.dp.ua>
 .RFC-X-Accept-Language: en-us, en
 From: Sergey Chumakov <Chumakov.Sergey@ooobadm.dp.ua.foo.com>
 Subject: Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5_=C4?=
  =?KOI8-R?Q?=CF=D3=D4=D5=D0=C1?=
 
 Vika Nazarevskaya wrote:
 
 > Hi.
 > 
 > Сорри за чайниковость - есть freebsd 4.4, на ней ipfw, делающий nat из локалки
 > в инет и squid на порту 8080. Политика - разрешено все, что не запрещено
 > (65535 allow ip from any to any). В этих условиях надо, чтобы пользователи
 > могли пользоваться www только через родной squid, предполагая, что
 > прокси-сервера в инете все поголовно висят на 80,3128 и 8080. Hаписала в
 > rc.firewall ipfw add 50 deny tcp from any to any 80 via <int.iface> ipfw add
 > 70 deny tcp from any to any 3128 via <int.iface> ipfw add 80 deny tcp from any
 > to not me 8080 via <int.iface> ifpw add 40000 divert natd ... ipfw add 65535
 > allow ip from any to any Однако не работает в самом интересном месте, где add 
 > 80, перекрывает доступ наглухо по порту 8080. Почему? Ставить ipfw2 и тогда
 > все будет круто? Или можно написать в понятных для ipfw1 терминах, без "not
 > me"? Hа локальном интерфейсе <int.iface> уродство - три ip-адреса в разных
 > сетках, кстати.
 
 а кто мешает написать:
 
 ipfw add 80 allow tcp from any to me 8080 via 
 <int.iface>
 ipfw add 90 deny tcp from any to any 8080 via 
 <int.iface>
 
 ?
 
 > 
 > И потом, нельзя ли сделать группу ip-шников (не set $net="сеть/маска" - это я
 > знаю) и писать как-нибудь типа:
 > 
 > ipfw add yy deny tcp from {$dummyusers} to port via iface
 
 По-моему только ipfw2  такое умеет.
 
 allow="12,15,23,14"
 graynet="192.168.0.0/24"
 
 и потом:
 
 ${fwcmd} add 2200 allow tcp from 
 ${graynet}\{$allow\} to any $transports_tcp in setup
 
 удобно :))
 
 -- 
 
 Сергей.
 
 --- Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.4) Gecko/20030829
  * Origin: Apex NCC Public Internet News Server (2:464/36@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: ipfw & nat - =?KOI8-R?Q?=DA=C1=D0=D2=C5=DD=C5=CE=C9=C5_=C4?=	Sergey Chumakov	04 Feb 2004 19:57:43

Архивное /ru.unix.bsd/1265046872.html, оценка 2 из 5, голосов 10