|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Serg Ershov 2:5009/14.400 14 Dec 2001 21:56:57
To : All
Subject : ipfw, squid & ppp0 q
--------------------------------------------------------------------------------
Имеем ed0. real ip
rl0. 192.168.1.0/24.
между ними нат.
ppp0. 192.168.1.250-251 у клиента.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log logamount 100 tcp from any to x.y.z.q/29 137-139 in recv ed0
00500 deny log logamount 100 udp from any to x.y.z.q/29 137-139 in recv ed0
00600 divert 8668 log logamount 100 tcp from 192.168.1.13 to any 80 out xmit ed0
00650 fwd 192.168.1.8,3128 log logamount 100 tcp from any to any 80 via ed0
00700 fwd 192.168.1.8,3128 log logamount 100 tcp from 192.168.1.0/24 to any 80
out xmit ed0
00800 deny log logamount 100 tcp from any to 213.135.142.21 119 in recv ed0
00900 divert 8668 ip from 192.168.1.0/24 to any out xmit ed0
01000 divert 8668 ip from any to x.y.z.w in recv ed0
0
получаем: локалка с rl0 ходит в инет как надо. все хорошо.
Юзер на ррр0, прописав у себя прокси, при любом обращении
заворачивается правилом 00700. ДОбавив правило 650, получаю, что юзер при
обращении на какойлибо веб внутри реальной подсетки x.y.z.q/29 под него не
попадает, но и на 3128 порт сам почему-то не ходит.
Телнет от клиента на 192.168.1.8:3128 проходит, ответ сквида отдается.
Клиент как в2к, так и в98.
Как можно более правильно написать запрет хождения на 80 порт внешнего мира
напрямую, без прокси?
... winamp cocet
--- IMHOграф 1.1.4.7 [S1E-RIPN]
* Origin: Tак как те, кто против тех, кто против нас... (2:5009/14.400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
