|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Vika Nazarevskaya 2:5011/60.5 04 Feb 2004 21:45:46 To : All Subject : ipfw & nat - запрещение доступа -------------------------------------------------------------------------------- Сорри за чайниковость - есть freebsd 4.4, на ней ipfw, делающий nat из локалки в инет и squid на порту 8080. Политика - разрешено все, что не запрещено (65535 allow ip from any to any). В этих условиях надо, чтобы пользователи могли пользоваться www только через родной squid, предполагая, что прокси-сервера в инете все поголовно висят на 80,3128 и 8080. Hаписала в rc.firewall ipfw add 50 deny tcp from any to any 80 via <int.iface> ipfw add 70 deny tcp from any to any 3128 via <int.iface> ipfw add 80 deny tcp from any to not me 8080 via <int.iface> ifpw add 40000 divert natd ... ipfw add 65535 allow ip from any to any Однако не работает в самом интересном месте, где add 80, перекрывает доступ наглухо по порту 8080. Почему? Ставить ipfw2 и тогда все будет круто? Или можно написать в понятных для ipfw1 терминах, без "not me"? Hа локальном интерфейсе <int.iface> уродство - три ip-адреса в разных сетках, кстати. И потом, нельзя ли сделать группу ip-шников (не set $net="сеть/маска" - это я знаю) и писать как-нибудь типа: ipfw add yy deny tcp from {$dummyusers} to port via iface Hеудобно, блин. Vika --- GoldED+/W32 1.1.5-0802 * Origin: (2:5011/60.5) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/2737402113dc.html, оценка из 5, голосов 10
|