|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey Ostanovsky 2:5030/1957.10 11 May 2003 11:46:00
To : Ghost
Subject : В Ipfw разрешить одним юзерам доступ к инету через natd а другим запрет
--------------------------------------------------------------------------------
Hello, Ghost!
Воскресенье Май 11 2003, Ghost изволил/a написать All:
G> Есть сеть 192.168.0.0/24. В ней необходимо чтобыс 192.168.0.1,
G> 192.168.0.2, 192.168.0.7, 192.168.0.13 можно было выйти в инет, а с
G> остальных нельзя было. Соединение с инетом через pppd. Как я понимаю
G> нужно написать вот таким образом:
G> ipfw add divert natd all from 192.168.0.0/24 to any out via ppp0
G> ipfw add divert natd all from any to me in via ppp0
G> ipfw add allow all from 192.168.0.1 to any via ppp0
G> ipfw add allow all from 192.168.0.2 to any via ppp0
G> ipfw add allow all from 192.168.0.7 to any via ppp0
G> ipfw add allow all from 192.168.0.13 to any via ppp0
G> ipfw add deny all from any to any via ppp0
G> Прав я или нет, и как это правильно сделать?
1. Прежде, чем писать такие правила полезно посмотреть на вывод команды
tcpdump -p -n -i ppp0
Там не будет в заголовках пакетов адресов внутренней сети.
2. С точки зрения уменьшения нагрузки на файрволл и нат, бесполезные пакеты
лучше отсечь до_того_как, а у тебя сначала все дивертится, после чего
выясняется, что половину пакетов можно выбросить.:)
В синтаксисе ipfw I можно использовать команду skipto на интерфейсе ppp0, или
фильтровать на сетевом адаптере, что-то типа:
ipfw add allow ip from any to 192.168.0.0/16 in via rl1
ipfw add allow ip from 192.168.0.1 to any in via rl1
Bye, Andrey Ostanovsky. aost @ gbk.spb.ru
--- System Uptime: 0012:04:48:09
* Origin: Если хочешь поработать - ляг поспи, и все пройдет! (2:5030/1957.10)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
В Ipfw разрешить одним юзерам доступ к инету через natd а другим запрет