Салют всем,
Вопрос от вполне себе "чайника" касательно настроек брандмаэура. Требуется - закрыть 80-й порт для пользователей локальной сети (нехай через прокси в Инет ходят), после чего наново открыть для нескольких машин прямой доступ в Инет. Поколдовал в /etc/rc.firewall, перезапустил брандмауэр, проверил на наличие новых правил:

# ipfw -a list
00010     4     192 allow tcp from a.b.0.100 to any 80 out
00020   102    5663 deny tcp from a.b.0.0/24 to any 80 out
... ...

a.b.0.0 здесь - наша локалка, a.b.0.100 - сотая машина в ней. На выходе имеем: 80-й порт намертво закрыт, но при этом правило 10 работать не хочет. Почему? Тип firewall'а, выставленный в rc.conf - simple. Я, конечно, понимаю, что написанное выше выглядит пародией на анекдот про подземный шум, но все-таки...

TIA всем отозвавшимся,
WilkZ

• RE: Открытие 80-го порта для отдельных компьютеров в локалке,LinaS, 11:01 , 12-Ноя-02
  • RE: Открытие 80-го порта для отдельных компьютеров в локалке,WilkZ, 11:36 , 12-Ноя-02
    • RE: Открытие 80-го порта для отдельных компьютеров в локалке,LinaS, 15:42 , 12-Ноя-02
      • RE: Открытие 80-го порта для отдельных компьютеров в локалке,WilkZ, 17:33 , 12-Ноя-02
        • RE: Открытие 80-го порта для отдельных компьютеров в локалке,LinaS, 17:40 , 12-Ноя-02
  • RE: Открытие 80-го порта для отдельных компьютеров в локалке,noname, 13:46 , 12-Ноя-02

>Салют всем,
>Вопрос от вполне себе "чайника" касательно настроек брандмаэура. Требуется - закрыть 80-й
>порт для пользователей локальной сети (нехай через прокси в Инет ходят),
>после чего наново открыть для нескольких машин прямой доступ в Инет.
>Поколдовал в /etc/rc.firewall, перезапустил брандмауэр, проверил на наличие новых правил:
>
># ipfw -a list
>00010     4     192 allow
>tcp from a.b.0.100 to any 80 out

раз счетчики увеличиваются, значит, правило работает...
a.b.0.0 - что, реальный адрес? если нет, нужно поднимать NAT, инече не будет работать...

>00020   102    5663 deny tcp from a.b.0.0/24
>to any 80 out
>... ...
>
>a.b.0.0 здесь - наша локалка, a.b.0.100 - сотая машина в ней. На
>выходе имеем: 80-й порт намертво закрыт, но при этом правило 10
>работать не хочет. Почему? Тип firewall'а, выставленный в rc.conf - simple.
>Я, конечно, понимаю, что написанное выше выглядит пародией на анекдот про
>подземный шум, но все-таки...
>
>TIA всем отозвавшимся,
>WilkZ

>раз счетчики увеличиваются, значит, правило работает...

Скорее, должно работать :) На самом деле загружаю браузер на том самом "сотом" компьютере, отключаю в настройках соединение через прокси-сервер, а в итоге система жизнерадостно сообщает мне свое "хренушки!"

>a.b.0.0 - что, реальный адрес?

Нет, разумеется. Адрес сети класса А для локального использования. Что же до NAT, то он  давно уж поднят и исправно работает:  

ps -x | grep nat
171  ??  Ss     1:59.42 /sbin/natd -s -m -u -n cx0

Дополнительне комментарии?..

>>раз счетчики увеличиваются, значит, правило работает...
>
>Скорее, должно работать :) На самом деле загружаю браузер на том самом
>"сотом" компьютере, отключаю в настройках соединение через прокси-сервер, а в итоге
>система жизнерадостно сообщает мне свое "хренушки!"
>
>>a.b.0.0 - что, реальный адрес?
>
>Нет, разумеется. Адрес сети класса А для локального использования. Что же до
>NAT, то он  давно уж поднят и исправно работает:
>
>ps -x | grep nat
>171  ??  Ss     1:59.42 /sbin/natd -s
>-m -u -n cx0
>
>Дополнительне комментарии?..

правильно, нат может и поднят, только пакеты на 80 порт у тебя до него не доходят...
10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника. вместо allow поставь skipto на номер правила с divert

>правильно, нат может и поднят, только пакеты на 80 порт у тебя
>до него не доходят...
>10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника.
>вместо allow поставь skipto на номер правила с divert

Шайтан, однако... теперь все работает :) Знаешь, вот когда сработает твоя наводка на статью про vinum и в этой местности заработает RAID-массив, смело записывай себе в актив с десяток бутылок лягера и выезжай за ними в Киев. Тип-па гонорар за доходчивую и эффективную консультацию :))

Респекты!

>>правильно, нат может и поднят, только пакеты на 80 порт у тебя
>>до него не доходят...
>>10 правилом разрешаешь, оно и уходит с не подмененным Ип адресом источника.
>>вместо allow поставь skipto на номер правила с divert
>
>Шайтан, однако... теперь все работает :) Знаешь, вот когда сработает твоя наводка
>на статью про vinum и в этой местности заработает RAID-массив, смело
>записывай себе в актив с десяток бутылок лягера и выезжай за
>ними в Киев. Тип-па гонорар за доходчивую и эффективную консультацию :))
>
>
>Респекты!

про Киев я учту :)))

попробуй поменять местами 10 и 20 строки.