URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 46076
[ Назад ]

Исходное сообщение
"ipfw"
Отправлено smartkz , 13-Июл-04 14:33

Здравствуйте.
Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только на сайт mail.ru ????

Содержание

ipfw,jr, 14:53 , 13-Июл-04
- ipfw,toor99, 14:58 , 13-Июл-04
  - ipfw,smartkz, 15:01 , 13-Июл-04
    - ipfw,toor99, 15:12 , 13-Июл-04
    - ipfw,toor99, 15:14 , 13-Июл-04
  - ipfw,jr, 09:02 , 14-Июл-04

Сообщения в этом обсуждении

"ipfw"
Отправлено jr , 13-Июл-04 14:53

>Здравствуйте.
>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>на сайт mail.ru ????
# ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
# ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
# ipfw add 502 deny ip from 192.168.1.1 to any

"ipfw"
Отправлено toor99 , 13-Июл-04 14:58

>>Здравствуйте.
>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>на сайт mail.ru ????
>
># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
># ipfw add 502 deny ip from 192.168.1.1 to any
Угу, и у него немедленно отвалится резолвинг имен, а может быть, и не только.
К тому же, если там NAT, то важен порядок правил. А если http-прокси, то это надо делать вообще не через ipfw.

"ipfw"
Отправлено smartkz , 13-Июл-04 15:01

>>>Здравствуйте.
>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>на сайт mail.ru ????
>>
>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>># ipfw add 502 deny ip from 192.168.1.1 to any
>
>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.

у меня нат
прокси нет

"ipfw"
Отправлено toor99 , 13-Июл-04 15:12

>>>>Здравствуйте.
>>>>Подскажите как настроить правило чтоб IP 192.168.1.1 имел выход в инет только
>>>>на сайт mail.ru ????
>>>
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
>>># ipfw add 502 deny ip from 192.168.1.1 to any
>>
>>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>>не только.
>>К тому же, если там NAT, то важен порядок правил. А если
>>http-прокси, то это надо делать вообще не через ipfw.
>
>
>у меня нат
>прокси нет
Тогда эти правила надо ставить до диверта в natd и с уточнением, что они in (внутренний интерфейс). Плюс добавить, как минимум, разрешение для пакетов UDP на 53 порт твоего DNS (и для ответных тоже, конечно).

"ipfw"
Отправлено toor99 , 13-Июл-04 15:14

пардон - вот это in via {inner_iface}
>>># ipfw add 500 allow tcp from 192.168.1.1 to mail.ru http
а это, соответственно, out via {inner_iface}
>>># ipfw add 501 allow tcp from mail.ru http to 192.168.1.1
а это просто via {inner_iface}
>>># ipfw add 502 deny ip from 192.168.1.1 to any

"ipfw"
Отправлено jr , 14-Июл-04 09:02

>Угу, и у него немедленно отвалится резолвинг имен, а может быть, и
>не только.
>К тому же, если там NAT, то важен порядок правил. А если
>http-прокси, то это надо делать вообще не через ipfw.
а я не говорил, что это конечное решение... это только ход мыслей :)